银行卡通过短信被“快捷盗刷”，银行泄密还是运营商漏洞？

又有银行储户吐槽银行卡被盗刷，究竟是银行支付体系出现了漏洞还是移动公司短信自有代码泄密？

事情还要回到7月8日，微博网友“公交姬”在其个人微博发布信息称银行卡被盗刷了，据他描述，“在10086的流氓服务‘短信保管箱’为不法分子盗刷我银行卡大开方便之门，致使本人瞬间被盗刷损失13990元至今。”

“公交姬”微博描述，今年2月，他发现自己的银行卡总是被人莫名其妙地输错密码冻结，可他的卡一直都在自己手上，也从来没有泄露过卡的信息。近日，他多次收到运营商发来的“短信保管箱”业务的订购短信，虽然立即联系客服取消了这项业务并修改了账号密码，仍收到了数十条来自各个消费网站发来的各种验证码短信，同时银行卡被不法分子盗刷，损失超过1万元。而他被盗刷的银行卡为在工商银行开办的储蓄卡。

不过，这并不是个案，据当地媒体报道，北京地区多位储户遇到类似情况，有类似经历的受骗者在社交工具上成立交流群，规模近20人。一时之间，工行“工银e支付”有重大漏洞的说法传开。

对此，工商银行7月20日在其微信公众号上澄清称，“工银e支付曝漏洞系误解”。工行表示，经分析与核查，工银e支付业务运营正常，也未发生泄露客户信息的情况。

“事发原因是不法分子使用非法手段获取了客户的相关信息和密码，再利用客户信息开通了客户手机的‘短信保管箱’业务，从而获取交易验证短信并盗取资金。据了解，目前通讯运营商已采取了改进措施。”工行称。

近年来，多家支付机构和商业银行都推出了基于手机短信验证的快捷支付业务，这种小额支付方式方便快捷，受到了客户的欢迎。工行的工银e支付业务也属于这种快捷支付业务，该业务开通时需要验证客户预留在工行的密码和手机号码，支付时需要验证工行向客户预留手机发送的短信验证码。

快捷支付是指用户购买商品时，不需开通网银，只需提供银行卡卡号、户名、手机号码等信息，银行验证手机号码正确性后，第三方支付发送手机动态口令到用户的手机号上，用户输入正确的手机动态口令，即可完成支付。

工行表示，只要客户保管好手机上的短信，安全性是有保障的。现在社会上一些不法分子利用非法手段窃取客户个人信息和认证短信，以盗取客户资金。

文末，工行提醒广大客户务必保管好个人信息、密码，防止手机被植入病毒，防止认证短信被盗取。工行并表示将配合公安机关侦破案件，帮助客户挽回损失。

如果资金被盗问题不在银行，那么谁又该为此事“买单”呢？有业内人士将矛头指向了移动运营商。

据澎湃新闻（www.thepaper.cn）了解，“短信保管箱”是一种短信托管服务，可以把手机上收到的短信自动同步到运营商的服务器上备份，中国移动的该项业务是由该运营商自行运作维护。通过这项业务可以自动将用户发送、接收的短信同步备份存储到云端，用户登录移动官网就可以查询备份的短信。移动10086客服人员称，这项业务的云端数据受到多项安全保护，用户只有通过手机号和密码才能登录，且登录记录会以短信形式反馈到手机上，用户可通过向客服电话发送相应短信代码开通和取消该项业务，业务收费为3元/月。

据京华时报报道，在发生通过短信盗刷银行事件后，北京移动声称：为了客户信息安全，目前已暂停了短信保管箱业务的短信查询等功能，并正在对此业务进行优化，优化内容包括“不保存银行下发的短信”、“只能查询24小时前企业短信”、“需要动态密码验证”等，所有业务优化会在8月底前完成。中国移动还提醒客户尽快升级弱密码，不要安装来历不明的软件，避免密码被盗。

但澎湃新闻（www.thepaper.cn）致电上海移动时，移动10086客服人员表示该项业务仍可通过用户发送短信的方式自助开通，不过该项业务目前只是试商用阶段，尚未正式推出。