支付寶設定存漏洞 盜刷氾濫

中共18屆三中全會後，江澤民的老巢上海被曝8億多元的騙稅案；近日，官媒又曝光了阿里巴巴集團的支付寶手機存在漏洞，也就是在手機上使用第三方支付時，僅需一個「帳戶名稱+驗證碼」便可重置密碼，用戶手機帳戶裡的錢也就「莫名」被轉走。

此前，由於港交所不接受阿里巴巴「黑箱操作」的「合夥人制度」，阿里巴巴在香港上市失敗。而阿里巴巴28個「合夥人」中有前黨魁江澤民孫子江志成，現任中共政治局常委劉雲山兒子劉樂飛等紅色權貴。有消息稱，涉江澤民兒子、江綿恆的巨大貪腐案正在調查。

驗證碼大盜氾濫 多人被盜刷

今年10月以來，多家陸媒報導，不少用戶帳戶裡的錢「莫名」被轉走，顯示支付安全隱憂。在手機上使用第三方支付，僅需一個「帳戶名+驗證碼」便可重置密碼，這是個驚天漏洞。

報導稱，金山反病毒工程師李鐵軍此前便抓到一款色情軟體，能自動攔截「手機驗證碼」，他很疑惑，它用這個功能要幹什麼。到了10月，木馬樣本越來越多，幾乎已成災。

據李鐵軍介紹，他發現20個木馬作者的電子信箱，裡面記錄著大量的盜刷紀錄，木馬攔截簡訊後，直接把它們轉發到木馬作者信箱。內容多是受害者的身分證、手機號碼等，還有一些驗證碼紀錄，比如重置密碼、開通快捷銀行、付款。

支付寶手機支付方式存在嚴重漏洞

「修改密碼」一直是支付安全的核心環節，歷來被銀行重視。手機流行的同時，為簡化環節推出「快捷支付」，在「修改密碼」部分，銀行仍堅守辦理門檻；而第三方支付修改密碼卻只需「用戶名+驗證碼」，這更意味著木馬一旦獲知帳戶名即知密碼，在推出手機綁定服務後，目前絕大多數用戶已將帳戶與手機號碼綁定，更增加了盜用風險。

據李鐵軍介紹，目前研究的樣本中，木馬獲取密碼的唯一方式就是以找回密碼為由修改新密碼。大致過程為：「淘寶買家」向賣家發送二維碼，對方掃瞄後會彈出一個頁面：「網路突然中斷，需要您填寫下帳戶名」，中招後，「買家」跟支付寶申請「我忘記密碼」，支付寶會發送「手機驗證碼」確認，「買家」用木馬把它攔截，轉發到自己信箱，之後盜刷支付寶便如探囊取物。

巨大利益令紅色權貴側目

據外媒報導，阿里巴巴28個「合夥人」中有前黨魁江澤民孫子江志成，現任中共政治局常委劉雲山兒子劉樂飛等紅色權貴。

其實，江志成看上的是「支付寶」這一網路金融業。《亞洲週刊》報導稱，阿里巴巴的支付寶註冊用戶數破8億，每日最高交易額超過200億元，再加上阿里巴巴的「餘額寶」以及天弘基金推出貨幣基金「增利寶」，「三寶」 合一的收益和金融業務擴張空間無限。

阿里巴巴在香港上市遭阻擊，據悉是由於中共黨魁習近平與香港特首梁振英談話時，得到習的暗示，不能為了江澤民的孫子修改上市規定，從而未得到通過。

另據消息人士透露，江澤民的長子、江志成的父親江綿恆已經被中紀委鎖定，涉江綿恆的巨大貪腐案正在內部調查。也有傳聞說，上海市委書記、江派人馬韓正將被調離上海，若屬實，意味著習近平三中全會徹底「攻陷」上海，江派將面臨徹底失勢，江澤民的兒子江綿恆在上海的黑幕也將會被層層揭開。◇