日前有粉丝爆料称：乐刷支付公司系统存在安全漏洞，通过较低级别的系统权限可以，获得注册用户敏感数据，比如：身份信息，银行卡信息，结算卡信息，以及与本权限不符的其他用户或者代理商的信息，也就是说你可以一个商户不用发展就可以看到其他代理商的商户信息，可能还可以进行相应的修改功能！

据粉丝爆料称在浏览器地址栏中，（没错是浏览器）也就是说根本不用啥高科技黑客功能）输入相关的查询信息的链接，那么就可以看到任意商户的更多信息了。这其中有可能包括商户的联系人，电话，地址，行业，身份证号，结算卡号，结算银行等非常关键的信息，存在用户关键信息泄露的风险，但是根据粉丝提供给信息显示，作为一家支付公司有如此低级的漏洞完全不应该！

还可以通过简单的方式进行重置密码，轻松可以登陆其他服务商的后台系统，登录代理商系统不需要验证码，可能会被暴力破解并利用爬虫技术批量下载商户资料信息！另外爆料人称登录乐刷代理商系统管理后台不需要验证码，没有更多的验证方式已确保代理商后台账户安全。如下图： 任何人都可以通过一个链接访问这个页面进行尝试登陆（根据推测代理商ID+默认密码）。并且可以修改登录密码，最关键的是某刷新增的代理商开设后台后，其原始用户密码是有规律的甚至是一致的，而没有其他的及时验证方式那么就很又可能会被有心人利用，甚至重置其它代理商的登录密码，后患无穷。

近年以来，支付公司内部及外部程度多次爆发了各类漏洞，给用户资料带来了较大隐患，此前也有多家支付机构被爆信息泄露用户信息，倒卖注册用户，电话骚扰以低价机器，虚假官方名义进行设备更换和交易资金欺诈！此前多家支公司都发布风险提示，信息泄露来源有很多是自身业务系统安全级别较低，漏洞明显被不法分子钻了空子！

7月份央行总行营管部科技部副处长刘立安日前在非银行支付机构技术交流会上介绍，出现6种情况，就会在续展中被“一票否决”，涉及支付信息安全支付机构将面临“不予续展”的决定根据人民银行下发了中国人民银行关于《支付许可证》续展工作的通知，明确了支付许可证或不能延期的11种情形。同时强调指导支付机构客观审慎开展续展申请，敦促引导其开展兼并重组，调整支付业务类型或覆盖范围、稳妥安排市场退出等工作，第（九）条规定 在支付业务设施安全及风险监控方面存在重大缺陷，或存在较大规模的盗窃、出卖、泄露、丢失客户信息情形的；此前也有机构因为技术安全问题，支付业务范围被缩减。

随后乐刷官方据回复称，经过核实并无此类漏洞，疑似有人故意抹黑。就在刚刚乐刷官方发布了一则声明，声明称：我司系统目前不存在任何泄露用户敏感信息的情况，对于相关不实信息的报道已经和主管监管机构进行沟通汇报，同时欢迎社会监督！

来源：支付圈子

  提供第三方支付系统、牌照申请、续展、并购等业务 ！ 咨询电话 18611588068（微同号）

广而告知

    支付有道提供第三方支付牌照和征信牌照申请咨询服务、系统平台建设、 牌照续展以及投资并购服务。曾服务于多家支付与征信机构，均已获得牌照。

咨询热线 ： 010-85969319    18611588068（微同号）