袁消失了

我被订购了4根金条和2部手机。

方女士提供的订单截图显示，2022年12月30日至2023年1月1日，其小米账户在小米有品平台下单6笔，总金额约1万元。 其中金条下单4人，红米手机下单2人。 送货地址均在湖南省耒阳市珠市农贸市场。

▲方女士的一张被盗订单。受访者提供

1月3日，方女士发现自己的银行卡被异常扣款后，迅速联系小米协助退款，并向公安机关报案。 但由于其中5个订单已收到确认，小米仅协助方女士拦截了1个在途订单。

方女士回忆，去年双十一期间在其他平台购买了小米扫地机器人后，她才开始使用米家APP。 “主要是用来连接和操作扫地机器人的，我从来没有绑定过银行卡下单，也不知道有小米有品商城。”

让方女士生气的是，当被问及为何未经她同意，她的银行卡被绑定到小米有品商城进行消费时，银行和小米有品都没有给出答复。

2月8日，南都湾财经报记者致电小米有品。 工作人员表示，用户被不法分子抢走3万多元的信息基本属实。 目前，小米有品也已建议用户报警，并将全力协助用户和警方追回钱款。 当问及为何未经方女士同意就绑定并刷卡时，工作人员表示原因尚不清楚。 “之前也出现过用户被刷卡的情况，有的是因为点击了网上的未知链接造成的。 信息泄露，或者孩子拿大人手机玩游戏、点击不明链接等。”

实际测量：

小米有品平台仅需手机验证码即可绑定银行卡

无需人脸识别等验证方式

警方已对犯罪分子盗取方女士银行卡的具体情况展开全面调查。 不过，当问及方女士个人信息泄露的来源时，哪些方面存在安全风险，值得探讨。

方女士提供的截图显示，她名下的借记卡已于2022年12月30日与捷付瑞通（小米旗下第三方支付机构）成功签约并绑定快捷支付服务。方女士表示，她不了解绑定银行卡、签订合同的流程。

▲ 女士方某的银行卡签有杰富瑞通。受访者提供

那么，方女士的银行卡是如何绑定到平台的呢？ 这个过程是否存在安全风险？ 南都湾财经报记者进行了实测。

测试中我们看到，在小米有品商城，绑定银行卡到小米钱包需要提供银行卡号、姓名、身份证号码、银行预留的手机号码以及预留手机收到的验证码电话号码。 完成绑定。 除验证码外，没有其他方式验证持卡人的身份，例如面部识别。

这一过程也得到了小米有品的证实。 在致电小米有品客服时，工作人员还表示，目前在小米有品平台绑定银行卡，确实可以通过银行预留的手机验证码来验证身份，并没有其他验证方式。作为面部识别。 如果消费者有顾虑，也可以选择使用其他支付方式。

记者在实际测试中还发现，银行卡绑定成功后，可以设置自己的密码进行支付操作，购物时没有其他方式可以验证是否是持卡人本人。 超过千元的大额消费，需要通过手机验证码完成支付操作，与绑定流程相同。

看法：

平台的银行卡绑定和支付流程可能存在安全风险。

北京互联网行业协会法律委员会副主任、北京京师律师事务所律师王从伟向南都湾财经报记者分析，本次事件多方面可能存在用户信息泄露的风险，且来源不明。目前尚无法确认用户信息泄露。 但从小米有品商城从绑定银行卡到消费支付的整个流程来看，小米平台的绑定和支付验证存在一定的安全风险。

“虽然每个机构的支付验证流程有所不同，但总的要求肯定是注重安全性。仅仅依靠银行预留的手机验证码来验证用户的真实身份，我认为这种机制存在一定的安全风险。 ” 王从伟表示，根据《非银行支付机构网上支付业务管理办法》第十一条第二款规定，在绑定银行卡、新开小米钱包账户过程中，在一定限额内王从伟表示，支付机构应通过至少三种合法、安全的外部渠道对基本身份信息进行多重交叉验证，“比如生物特征识别，或者输入银行卡密码等措施”。

另外，在绑定完成后的支付过程中，支付验证过程也可能存在一定的安全风险。 王从伟表示，根据《非银行支付机构网上支付业务管理办法》第二十二条规定，支付机构可以结合以下三类要素对客户使用支付账户余额进行支付的交易进行验证，并确保所使用的元素彼此独立：

(1) 只有客户本人知晓的要素，例如静态密码等；

（二）客户独有的、无法复制或重复使用的元素，例如经过安全认证的数字证书、电子签名、通过安全通道生成和传输的一次性密码等；

（3）顾客的个人生理特征，如指纹等。

王从伟认为，小米商城目前的支付流程不符合上述要求，因此支付流程也存在一定的安全风险。

在后面：

杰夫锐通，小米旗下支付机构

曾多次因违法违规受到处罚

方女士并不是第一个在小米商城遭遇银行卡诈骗的用户。 南渡湾金融协会记者查阅裁判文书网发现，2020年11月，一名消费者的信用卡被盗，通过杰富瑞通有限公司进行人民币消费。在黑猫投诉平台上，搜索“小米”相关关键词”和“偷窃”共曝光投诉74起。 最新的投诉发布于 2 月 8 日。

值得注意的是，小米旗下支付机构杰夫瑞通也多次因涉嫌违法违规受到央行处罚。

公开信息显示，早在2014年4月，杰富瑞通就因银行卡收单业务违规被央行责令停止在全国新增商户。

2016年，杰夫锐通正式引入小米科技有限公司作为战略合作伙伴和主要投资者，围绕小米互联网应用场景进行支付业务的战略布局，成为小米生态系统的重要参与者。 当时，杰夫锐通内部高管也经历了一次“更替”：工商变更显示，2016年1月，杰夫锐通法人由吴军变更为雷军。同年7月，小米公司的洪峰、刘德、齐艳出任杰夫锐通高管。

虽然已经进入小米生态，但围绕极富锐通的违规处罚和争议并未停止。 2018年，杰夫锐通股东盛银合锐科技有限公司因股东知情权纠纷与杰夫锐通对簿公堂。 判决书显示，盛银和瑞于2015年7月与小米科技签署股权转让协议，将65%的股权转让给小米科技。 当时，盛银和瑞拥有集果通32%的股权。

不过，作为吉富瑞通前股东，盛银和瑞表示，自2016年6月以来，并不了解吉福瑞通的经营状况。盛银和瑞多次提出召开股东大会、董事会会议，但吉果通均置若罔闻。 当时，杰夫瑞通持续亏损，但从未提供详细信息解释亏损原因。 公司财务流程混乱，大额支出未按规定授权，决策不按法定程序进行。 存在巨大的财务风险，严重侵犯了盛银和瑞的股东权益。

2019年7月，杰富瑞通股份有限公司因违反《非金融机构支付服务管理办法》、《银行卡收单业务管理办法》被央行呼和浩特中心支行予以警告。

最新处罚信息公布于2022年6月23日，中国人民银行呼和浩特中心支行出具的一份行政处罚信息公示表显示，杰夫瑞通因四项违法行为被央行罚款12万元。

具体来说，本次处罚中，杰夫锐通：未按要求提交、保存相关信息； 从事网络支付业务、违规开立支付账户的； 从事收单业务，未按照要求建立和实施特约商户实名制度的； 从事收单业务未按要求设立单项业务、发送收单交易信息等四种违法行为。

结尾