参赛者成功读取银行卡信息和密码，并成功使用复制的新卡进行购物。 虽然破解没有成功，但是演示成功了！

上图来自安全客。 虽然挑战者没有挑战成功，但漏洞依然存在。 毕竟，现实生活中的网络黑客不会仅仅尝试闯入 POS 机 20 分钟。

公开信息显示，拉卡拉成立于2005年，并于2011年5月3日成功获得中国人民银行颁发的《支付业务许可证》，并已成功续展至2021年5月2日。拉卡拉支付牌照业务类型涵盖互联网支付、手机支付、数字电视支付、银行卡收单、预付卡受理。 是一家持牌的支付公司，很难买到。 属于国内第三方移动支付和线下银行卡领域。 就交易规模而言，收单行业仍位居前三。

2016年2月，拉卡拉尝试通过资产注入重组上市公司“西藏旅游”。 重组方案公布后，引发诸多质疑。 市场认为，西藏旅游通过巧妙的设计刻意避免了借壳交易。 上交所也连续发出多份重组问询函，要求公司作出解释。 重压之下，西藏旅游于去年6月终止了与拉卡拉的重组。

今年3月3日，证监会披露拉卡拉创业板上市招股说明书。 本次IPO是拉卡拉独立分拆“拉卡拉支付”业务并上市，而非集团层面的IPO。 根据首次公开募股文件显示，拉卡拉计划发行不超过4001万股，目标是在深圳证券交易所创业板上市。

六个月后，拉卡拉IPO因申请文件不完整被证监会叫停。 拉卡拉表示，被证监会列入IPO暂缓审核名单的原因是该律师事务所更换了签约律师。 目前还没有最新进展的消息。

此外，拉卡拉的收单业务也是违规重灾区。 一年来，3家子公司因违规行为受到央行不同程度的处罚。 2016年3月17日，拉卡拉股份有限公司宁波分行因未落实特约商户实名制，要求停止在宁波地区的银行卡收单业务一年； 2016年10月25日，拉卡拉支付有限公司福建分公司未能落实特约商户实名制。 未按要求进行客户身份识别，未按要求保存客户身份信息和交易记录，未按要求提交可疑交易报告； 2016年12月22日，拉卡拉支付安徽分行违反银行卡收单业务相关法律制度规定，被央行发出警告。

支付之家网（ZFZJ.CN）获悉，早在2015年10月24日，在世界级黑客大赛嘉年华上，拉卡拉的产品被曝存在安全漏洞，参赛者成功攻入拉卡拉 POS机。 卡里的余额莫名其妙的消失了。 盒子支付 POS 机也受到影响。

参赛者通过手机绑定 POS机，并在手机上安装模块来劫持交易信息。 只要用户用银行卡查询余额，手机就会劫持交易信息，使用另一张卡刷转账，输入任意密码即可转账之前银行卡上的余额。 整个过程中，参赛者本人没有直接接触银行卡，也没有获取卡密码。

经济日报曾指出，诈骗事件的发生说明第三方支付平台本身参与诈骗存在很大隐患。 “首先要做的是查漏补缺。建议监管部门再次重申保护消费者资金安全的极端重要性，对网络支付进行全面监督检查，包括对支付平台的技术软件和风控系统进行全面体检。” 刘俊海建议，如果是技术漏洞，尽快修补，重建内部技术流程； 如果支付平台不具备控制风险的能力，就应该强制取消支付业务。

去年4月，央行发布《非银行支付机构分类评级管理办法》。 系统安全被列为基本评价指标，占比15%，成为第三大考虑因素。

中国人民银行在《支付业务许可证》换发工作中也明确表示，“支付业务设施安全和风险监控存在重大缺陷，或者存在大规模盗窃、背叛、泄露或丢失客户信息。” 引导其客观审慎开展续展申请，督促引导开展兼并重组、调整支付业务种类或覆盖范围、稳步安排市场退出等。

最后我想说的是，无论做什么，无论是第三方支付还是聚合支付，都要提供良好的客户体验，提高产品安全性，避免漏洞，确保用户信息得到保障。 我相信市场将会继续如此。 存在。