手机号会回收,App会更新,消费场景会越来越便捷,但平台的责任不能跟着旧号码一起失效。哈啰需要回答的,不是这次愿意补多少钱,而是这些反复出现的安全漏洞,究竟还要“漏”多久才能补上。
陕西郭先生从未使用哈啰打车,账户却被扣费800余元。经查,起因是其妻子注销的手机号被回收后,新机主仅凭短信验证便登录了原账号,并直接通过绑定的免密支付完成扣费。事发后哈啰虽承认账户遭他人冒用,却拒绝全额退款,仅给出200元的“最高补偿”方案。(详见《陌生人哈啰打车自己掏了800多元钱买单 原来是手机号重新投放后被“破解”了哈啰账户》)
该事件引发的是一个长期存在的、更值得关注的普遍问题:手机号可以重新分配,但附着其上的支付授权,却不会自动失效。对很多注销手机号后没有及时解绑各类服务的用户来说,免密支付就像一颗被遗忘的开关。一旦旧号码被重新启用,原本绑定的支付关系就可能在本人毫不知情的情况下继续扣款。用户以为手机号不用了,相关服务也自然结束了,哈啰的账户系统却仍把旧授权当成有效凭证。
尤其是涉及免密支付,哈啰的风控几乎是“失明”的。号码被新用户使用后,为什么还能沿用旧账号里的历史支付授权?登录设备、使用习惯、账号主体均已发生根本变化,为什么没有触发任何安全预警?令人不安的是,下单人与付款人明显不是同一人——哈啰后台能看到订单,付款人前端却查不到任何行程记录,消费者连最基本的知情权和核验权都没有。钱被扣走了,却不知道谁下的单、去了哪里、费用如何产生,这样的支付链条显然不够安全。
更值得警惕的是,此类“隔空扣款”早已不是孤例。郑州元先生注销6年的手机号被他人登录哈啰顺风车,免密支付悄然扣费;浙江一名网友同样因旧号未解绑,被新机主通过哈啰顺风车扣走178元。同类事件接连曝光,说明这不是偶然的小差错,而是账号安全、手机号回收、支付授权和哈啰平台风控之间存在漏洞与脱节。问题已经多次被曝光,哈啰平台仍未真正堵上漏洞,再以“情况特殊”轻描淡写,实属说不过去。
手机号注销后重新投放,是通信行业的通行规则。运营商固然有责任在销号环节加强提醒,告知用户解绑各类支付与服务平台,并为销号证明提供便利。但运营商的提醒义务,不能成为哈啰平台推卸责任的理由。手机号可以重新分配,用户的账户权益和支付责任不能跟着号码一起“过户”给陌生人。
免密支付减少了操作步骤,也提升了交易转化率。哈啰从中受益,就应承担相应的安全责任。既然哈啰承认账户被他人使用,就应先保障无过错用户权益,退还异常扣款,再通过订单信息和实际使用人进行追偿,而不是让没有出行的人为平台漏洞买单。
堵住免密“隔空扣款”漏洞,绝不能只停留在口头提醒。哈啰应升级风控规则:手机号变更或实名与支付主体不符时,自动冻结旧免密授权;旧号重登须重签支付协议;异常订单及时拦截提醒;向付款人开放订单查询申诉通道。支付机构需简化免密管理入口,消费者也应定期自查解绑,但平台手握核心数据,安全责任不能转嫁用户。
“隔空扣款”扣走的不只是几百元车费,更是用户对平台支付安全的信任。手机号会回收,App会更新,消费场景会越来越便捷,但平台的责任不能跟着旧号码一起失效。哈啰需要回答的,不是这次愿意补多少钱,而是这些反复出现的安全漏洞,究竟还要“漏”多久才能补上。
信网评论员 陆云琦
[来源:信网 编辑:王荣]