以上图片来自安全客,虽然挑战者没有挑战成功,但是漏洞依然存在,毕竟现实中的网络黑客不会只尝试20分钟攻破POS机。
公开资料显示,拉卡拉成立于2005年,于2011年5月3日成功获得人民银行颁发的《支付业务许可证》,目前已经续展成功有效期至2021年5月2日。拉卡拉支付牌照业务类型覆盖互联网支付、移动电话支付、数字电视支付、银行卡收单、预付卡受理,属于千金难买的全牌照支付公司,其在国内第三方移动支付领域和线下银行卡收单行业保持交易规模前三。
2016年2月,拉卡拉尝试用资产注入的方式,*上市公司“西藏旅游”。*预案公布后引起诸多质疑,市场认为西藏旅游通过精妙设计故意规避借壳,上交所也连续发出多封*问询函,要求公司进行解释说明。在重重压力下,西藏旅游在去年6月份终止与拉卡拉的*。
今年3月3日,证监会披露了拉卡拉在创业板上市的招股说明书。此次IPO,系拉卡拉独立拆分“拉卡拉支付”业务上市,而非集团层面的IPO。根据首次公开IPO申报稿,拉卡拉拟发行不超过4001万股,目标是登录深交所创业板。
6个月后,拉卡拉因申请文件不齐备等被证监会中止IPO。拉卡拉表示被证监会列入中止IPO审查名单的原因是,律师事务所更换签字律师。目前尚未有最新进展的消息。
此外,拉卡拉收单业务却也是违规重灾区,过去一年,三家子公司因违规受到了央行不同程度上的处罚。2016年3月17日,拉卡拉宁波分公司因未落实特约商户实名制,要求停止宁波市银行卡收单业务一年;2016年10月25日,拉卡拉福建分公司因未按规定开展客户身份识别、未按规定保存客户身份资料和交易记录、未按规定报送可疑交易报告;2016年12月22日,拉卡拉安徽分公司因违反银行卡收单业务相关规定,给予警告。
支付之家网(ZFZJ.CN)了解到,早在2015年10月24日的世界级黑客大赛GeekPwn嘉年华上,就有拉卡拉旗下产品被爆存在安全漏洞,选手成功攻破拉卡拉收款宝POS机,使卡内余额莫名消失。同样被攻破的还有盒子支付POS机等。
选手通过安卓手机绑定拉卡拉收款宝POS机,并在手机上安装Xposed模块去劫持交易信息。只要用户用银行卡查询余额,手机会将交易信息劫持下来,用另一张卡去刷卡转帐,输入任意密码,就可以转走前面银行卡上的余额。整个过程选手本身并未直接接触该银行卡,更没有获得该卡密码。
去年4月,央行发布了《非银行支付机构分类评级管理办法》,系统安全被列为基本评价指标,占比15%,为第三大考量因素。
人民银行关于《支付业务许可证》续展工作中也明确表示“在支付业务设施安全及风险监控方面存在重大缺陷,或存在较大规模的盗窃、出卖、泄露、丢失客户信息情形的”,应指导其客观审慎开展续展申请,敦促引导其开展兼并*,调整支付业务类型或覆盖范围、稳妥安排市场退出等工作。
距离钱越近的地方,安全问题不得儿戏,我们也相信拉卡拉能尽快修复漏洞!
- - - - - - - - - -
责编丨陈晨(微信zfzjcc)
支付之家网(WWW.ZFZJ.CN)
*文章为作者独立观点,不代表支付之家网立场*