武漢肺炎陰霾下,市民為避疫足不出戶轉為網上購物,令電子錢包交易額大增,卻疑衍生保安漏洞。有消費者近日以PayMe轉賬6,000元給朋友,卻意外發現該筆款項竟可透過PayLink(付款超連結)遭第三者「截糊」取走,批評是一大漏洞,擔心其他用戶因此蒙受損失,「我覺得PayMe係絕對需要負責任」。本報測試發現,另一流行電子錢包支付寶亦有相同問題。
滙豐旗下手機流動轉賬程式PayMe於2020年首季,交易量較上季增長逾10%。轉數快於上月平均每天處理264,000宗實時交易,較去年12月的168,000宗大幅上升近60%。在疫情最嚴重的數月,電子支付使用量大幅上升,惟其存在風險亦昭然若揭。
錯按超連結揭發
鄭小姐早前與友人計劃旅遊,其中一名朋友B君為搞手,對方訂好酒店住宿後,於WhatsApp群組內提醒各人付款。鄭隨即利用PayMe轉賬,在付款選擇收款人時,輸入B君電話號碼,透過指紋辨識功能完成付款流程後,PayMe系統即建立一條名為PayLink的付款超連結,同時自動打開鄭與B君WhatsApp私人對話頁面,該PayLink與付款訊息即於對話框中顯示。鄭按下發送鍵後,將訊息轉發到WhatsApp旅遊群組,方便B君記賬。
豈料鄭隨即收到PayMe電郵通知,指WhatsApp群組內另一名女友人C小姐已收取該筆款項,鄭大惑不解,遂向C小姐查問,對方解釋,收款一刻正忙於處理家務,錯手按到鄭於群組內轉發的PayLink。C小姐馬上查看PayMe戶口,證實該筆6,000多元的款項已匯入自己的戶口。原定收款人B君其後再嘗試以該PayLink收款,卻出現「對不起,此PayLink已無效」的畫面。幸好C小姐是鄭的好友,得知狀況後已即時將該批款項歸還,否則6,000多元「凍過水」。
鄭小姐最終並無金錢損失,但認為此為PayMe的保安漏洞。她強調,原本打算將款項過賬給指定人選,即是屬「個人對個人」的交易,PayMe沒理由容許第三者以PayLink代收款項。她認為,作為一個電子轉賬平台,PayMe有責任保障交易安全達至滴水不漏的程度。她事後曾向PayMe反映問題,卻只獲回覆「感謝你的意見」。
誤解收款人已指定
鄭小姐認為,一般用家理解,在PayMe轉賬時輸入對方的電話號碼,等同在櫃員機中輸入戶口號碼過數,只有指定電話號碼的持有人方能收款,不應存在第三方成功領取款項的機會,她認為PayMe應盡快堵塞此漏洞。
無線科技商會執行委員李勁華認同,PayMe有責任告知用戶付款PayLink屬「先到先得」的概念(即是有可能被第三者取走),但他指難以判斷這是否一保安漏洞,因「有少少踩界」。對於今次爭議,香港資訊科技商會榮譽會長方保僑亦認為,PayMe可考慮加強教育及宣傳,提醒用家付款超連結原來可容許第三者取款,以減爭拗。
滙豐發言人提醒用戶,只將付款超連結直接發送予指定收款人,不應分享給任何第三方,以確保交易能夠安全完成。支付寶則表示,暫未接獲相關問題的查詢,並解釋轉賬鏈結原意因應社交需求,提高轉賬的靈活性,建議用戶避免將鏈結分享到群組。金管局指,未有收到有關付款超連結的投訴,提醒用戶轉賬前小心核對收款人資料。
