(电子商务研究中心讯)　　【编者按】最近接到爆料，家住西安的拜女士称自己的信用卡通过支付宝账户被人盗刷了500多元，“做案者”李女士却主动联系她，称其在淘宝购物时，通过支付宝刷了一张别人的卡，“做案者”自己也在纳闷，用自己的支付宝密码怎么就能刷别人的信用卡呢？

　　在随后的试验中，用自己的手机号注册淘宝，在经历了一系列通过手机号提示改密码的过程后，登录进淘宝，却发现从收货地址到购买记录里都可以看到，该淘宝账号归另一个人所有。

　　手机号的二次流通引发阿里账户问题

　　爆料人拜女士对亿邦动力网称，收到银行通知信用卡被刷的短信后，她与银行核实后，确认卡里的钱是通过支付宝消费的。很少使用支付宝的她于是下载了支付宝的APP，在账单一栏，她发现了来自广州的李女士的消费记录。

　　拜女士回忆，她曾在美团购物时使用过该信用卡，但是否绑定过支付宝已无法记清。

　　同一时间，身在广州的李女士在淘宝购物时发现，自己随淘宝账号绑定的支付宝账户里多出了一张信用卡，而自己用另一个支付宝的密码居然可以完成支付。(详情见下图)

　　经过查找信用卡实际拥有人，李女士联系到拜女士，发现了两人之间的“缘分”——拜女士现在使用的手机号，刚好是李女士曾经使用、后来被运营商注销的号码。而李女士也曾经用该号码注册了出现了上述问题的支付宝账户。

　　二人由此怀疑，是因为前后使用了同一个手机号导致支付宝账户出现了问题。

　　更神奇的是，当亿邦动力网编辑用自己的手机号(此手机号为近期购买，之前可能曾被人使用过)试图进行类似验证时，的确也遭遇了类似情况——不同的是，此号码虽然不能直接登录别人的支付宝，但在登录淘宝时(此号码之前未注册过淘宝)，却发现可以直接登录，而且是一个陌生人的淘宝账号。

　　进入一个陌生人淘宝账户(为保护当事人，账号已隐藏)

　　在该账号里，亿邦动力网编辑可以看到一个陌生人的收货地址、购买记录、甚至一个完全陌生的支付宝账号。点击该账号，发现该账号归一位名为“X晨”的人士所有，该账号绑定了尾号为4894的中国工商银行储蓄卡，“X晨”的手机号XXXXXXX5929也显示无疑。(为保护当事人，当事人姓名以及所用手机号均未完全显示。)

　　在X晨支付宝账户里能看到他绑定的银行卡(为保护当事人，部分证据已隐藏)

　　通过该支付宝账号绑定的手机号XXXXXXX5929，联系到了该支付宝账户所有者X晨，不出意料，“X晨”称其几年前所用的手机号，恰恰就是亿邦动力网编辑现在所用的手机号。在几年前，他已经注销了该手机号。

　　至此，通过两个看似不可能的巧合，完成了一个实际可以发生的事实的验证：如果一个手机号存在过注销后再流通、而该号码曾经绑定过支付宝账号或淘宝账号的情况，那么，则有可能出现一种情况，即在特定情况下，两个用户有可能在某种程度上“共享”同一个支付宝账号或淘宝账号。

　　支付宝复盘：一系列巧合，使账户信息被神奇“补全”

　　编辑就此事联系到支付宝相关负责人，经过查证，支付宝为亿邦动力网复原了二人的交易过程(如下图)。

　　支付宝强调，造成该账户出现“诡异问题”的原因主要有3点：

　　1、运营商收回手机号后又重新发放，李女士在放弃原手机号使用后没有及时和支付宝账户解除绑定；

　　2、李女士一直未将自己的支付宝账户补充完整，整个账户只有一个能识别的手机号；

　　3、拜女士在美团通过支付宝绑定信用卡时只需通过手机短信验证即可完成绑卡并支付，并未像一般支付过程中需要填写支付宝密码，因此，该支付宝账户的密码实际是空缺的。在这种情况下，广州的李女士则实际上可以用任何密码都可以完成支付，相当于对支付宝账户的密码补全。

　　支付宝：无法从源头堵住相关漏洞

　　对于如何处理此类事件，支付宝相关负责人回应称：

　　首先，目前开设支付宝账户必须提供身份证号码，实名制早已开始实施，可以为避免此类事件发生再加一道保险。(而上述事件中的支付宝账号，是在多年前未实施实名制时注册的)其次，支付宝有对此类事件的赔付机制，如果是因为系统认证的错误，支付宝可以提供相应的全额赔付。

　　但该人士也表示，支付宝现在“无法完全避免”类似事件再度发生，这一由于当年尚未强制实名认证而留下的历史问题，或许还需要一些时间来解决。

　　而对于编辑可以登录陌生人账户一事，淘宝相关负责人表示，这同样是由于手机运营商收回手机号后重新发放，原手机号主人没有解除和淘宝账号的绑定所致。“理论上，淘宝没有办法知道运营商是否重新发放了手机号，从淘宝‘以手机号作为进入ID的用户认证逻辑’来说，难以绝对避免这种小概率事件的发生。”

　　在上述案例中，李女士最终将误刷的500元货款退还给拜女士。支付宝表示，该账号将归拜女士所有，李女士则将解除与该账号的绑定。而如果拜女士放弃该账号，则该账号将被永久封存。

　　业内人士：账户验证手段亟需加强

　　一位支付行业资深人士称，此事的根源在于运营商收回手机号后重新发放后，银行、第三方支付与运营商互相之间数据不通，“这类事件将防不胜防。”

　　为此电话咨询了某电信运营商的客服人员，其表示，通常情况下，用户手机号欠费达4个月，就会被自动注销。注销时，运营商并不会专门提醒用户解除某些“特别的绑定”。一般情况下，手机号在注销半年后，就会重新出现在选号系统之中。

　　钱包金服董事长赵国栋表示，支付宝补全用户信息时的验证手段过于缺乏，不应该只根据手机号做账户的唯一关联识别。他表示，为避免此类事件发生，以后不管在注册和消费时，对账户的验证手段都需要加强，多一些验证手段也符合央行最新颁布的第三方支付管理办法中表达的精神。

　　据了解，央行于上月颁布的《非银行支付机构网络支付业务管理办法(征求意见稿)》中明确表示，综合账户的开立需要包括面对面在内的至少5种方式交叉验证身份，而消费账户也需要至少3种方式进行交叉验证后才能开立。

　　同一源律师事务所律师尚竞表示，在任何情况下，如果某人误刷了他人银行卡，在法律上都构成了对原卡主的不当得利，“误刷者都应及时联系卡主人以及支付宝，第一时间将误刷的款项返还。”

　　针对这一事件，尚竞认为，从法律角度来讲，支付宝账户余额、淘宝网店等虚拟财物已经被界定为私人财产，国家从立法层面应该敦促平台强化对此类财产的监管；另一方面，用户也需要更加谨慎和仔细地维护此类财产的安全。

　　【对消费者的3点提示】

　　1、当消费者需要更换手机号时，要及时将该手机号与具备支付功能的相关电商平台、支付账号等解绑。

　　2、注册支付宝、淘宝等平台账号时一定要让信息设置完整，使弱信息账号变成强信息账号，以便平台识别账户信息。

　　3、通过类似美团、大众点评等平台使用第三方支付完成支付并绑定银行卡后，要重新登录第三方支付进行验证并补全信息。(来源：亿邦动力网）