2025年以来,多地哈啰出行用户遭遇账户异常扣款;据受害者反映,未进行任何操作的情况下,账户内资金被持续划扣,用于支付陌生人的出行订单。更令人不解的是,这些异常订单在用户客户端无法查询,仅存在于平台后台系统中。 记者调查发现,此类盗刷案件表现为共同特征:不法分子通过获取用户短信验证码,即可完成账户登录、原设备解绑、免密支付开通等诸多操作。部分用户提供的手机使用记录显示,在资金被划扣时段,其本人并未打开对应的应用程序。此现象引发业内对平台账户安全机制的质疑。 从技术层面分析,单一验证码本应仅具备身份验证功能,无法同时完成多项涉及资金安全的敏感操作。然而在实际案例中,验证码似乎成为绕过多重安全防护的"万能钥匙"。信息安全专家指出,成熟的账户体系应当建立多因素认证机制,对涉及资金变动、设备变更等高风险操作设置独立验证流程。 哈啰出行客服初期回应称,用户主动提供验证码导致账户被盗,责任应由用户自行承担。这一表态引发舆论反弹。随着事件发酵,平台上调整口径,表示"不排除新型诈骗手段与系统漏洞相结合的可能性",但未就具体技术缺陷作出明确说明。 同时,支付宝等第三方支付平台近期更新了与哈啰出行的免密支付授权协议,新增条款明确"该授权可能适用于平台内所有需支付服务"。这一变化被解读为支付通道方对潜风险的应对措施,但也从侧面印证了原有授权机制存在模糊地带。 业内人士分析认为,此次事件折射出部分互联网平台在快速扩张过程中,过度追求用户体验便捷性,在安全投入与风险防控上存明显短板。当"降低支付摩擦"成为核心指标,必要的安全验证环节可能被简化甚至省略,将用户资金置于风险敞口之下。 中国消费者协会相关负责人表示,平台企业在提供便捷服务的同时,负有保障用户信息安全和财产安全的法定义务。单纯以"用户泄露信息"为由推卸责任,既不符合消费者权益保护法相关规定,也有违互联网平台应承担的社会责任。 目前,部分受害用户已组建维权群体,计划通过法律途径追究平台责任。法律界人士指出,根据民法典及电子商务法相关条款,若平台在技术安全保障上存在过错,导致用户财产损失,应当承担相应赔偿责任。此案的司法实践,或将为界定平台安全责任边界提供重要参考。 从监管层面看,此类事件凸显出移动支付领域安全标准亟待完善。专家建议,相应机构应推动建立统一的账户安全技术规范,明确涉及资金操作的最低安全要求,对违反规定平台实施有效监管和处罚。
支付的便捷来自技术,但信任的建立依赖制度与底线。验证码被套取只是表象,真正需要补上的,是平台在关键环节的强验证、透明授权与可追溯治理。让每一笔扣款都经得起查询、每一次授权都经得起理解、每一次风险都能被及时拦截,才能让“省一步”不再演变为“失一笔”,让数字化服务在效率之外更有安全与公正的支撑。