.jpg)
信用卡个人综合积分系统漏洞造成H行资金损失
刘博
中国邮政储蓄银行审计局沈阳分局 110000
一、案例简述
(一)案例背景
H行信用卡积分系统于2019年7月上线,用于实现积分礼品进销存管理、信用卡积分计划管理及积分生成,主要功能包括信用卡积分生成、积分计算、积分消纳、可用积分日汇总等。积分可用于积分商城兑换商品、平台支付抵扣、积分捐赠。
(二)审计发现问题情况
一是信用卡个人综合积分系统缺陷,部分网络消费退货时未扣回积分,导致向客户多发放巨额积分。通过建模统计及溯源分析,审计发现由于信用卡退货交易冲减积分涉及原始交易授权码未匹配字段“90域和38域”,从而导致京东、支付宝、财付通(微信)、钱袋宝(美团)、苏宁易购等5个渠道存在信用卡交易退货未相应调减积分问题,其中2020年1月1日至2022年7月31日期间涉及此类交易金额共计20.04亿元,即多发积分逾20亿分。保守估算,因“退货未退积分”造成的总损失约为200万元。
二是超额发放商户分期积分。H行《信用卡(个人卡)积分奖励计划》规定,商户分期按照交易入账金额1倍积分。审计发现,由于个人综合积分系统对部分卡种商户分期积分参数设置错误,造成H行对35个应发放1倍积分的卡种发放了2倍或3倍积分。2020年8月至2024年6月期间,信用卡中心共向22.46万名客户超额发放 47.10亿积分,按照“1000积分=1元”的兑换比例换算,多发放积分价值470.97万元。向客户超额发放商户分期积分,将增加H行成本支出。
三是“快捷支付”活动出现系统漏洞,单户积分突破规则上限。信用卡中心2022年7月至2022年8月31日开展“十分有幸,快捷支付享5倍积分”活动,活动内容为“在单个活动周期期间,客户报名卡片在支付宝、财付通(含微信)、京东支付、美团支付绑定后并通过上述4种快捷支付产生的快捷消费可获得消费金额的5倍积分,单期活动每个客户可获积分奖励上限为30000分”
二、审计过程与方法
(一)线索发现过程
1.异常数据识别。
一是异常积分增长:通过审计分析系统发现某些客户积分在短时间异常增加。二是重复交易:同一笔交易多次累计积分,或退款后积分积分增长不成比例。三是不匹配的交易金额与积分:交易金额与积分增长不成比例。例如,按时间顺序分析,以京东和支付宝渠道为例,2022年1至7月多发放积分2.66亿分,据此估计,全年未退积分预计为45.58亿分,较上一年度增长15%,呈现出逐年上涨趋势。
2.用户行为分析。
一是异常消费模式:某写账户频繁进行固定金额交易或特定商户交易,明显为积分套利。二是多账户操作:同一客户控制多个账户,集中转移或使用积分。三是地理位置异常:账户在短时间内于不同地区进行交易,可能涉及欺诈。例如,客户刘*海,年10月30日办理商户分期5911元,共分期6期,每月摊销入账985.1元,按照积分规则,每期应积分985分,合计积分5910分,实际每期积分1970分,合计11820分。
(二)问题查证思路与方法
一是明确问题范围与重点进行多维度分析。梳理涉及积分系统漏洞的具体业务环节,明确受影响的客户群体、交易渠道、时间范围等关键要素,从交易维度、客户维度和机构维度进行数据分析。例如,按机构维度对多发放积分进行分析,发现排名前三位的为江苏省、广东省、四川省分行。该系统漏洞已被部分客户发现并进行积分套利。如广东省分行客户金某利用名下4张信用卡频繁退货,自2020年以来累计退货3382.94万元,产生未退积分3382万分,仅金某一人造成H行实质损失3.38万元。金某自2020年以来兑换积分479笔,累计兑换积分4856万分,其中70%来自未退积分。金某积分兑换特点为,笔均兑换积分10万分左右,频繁兑换积分,仅2021年一年兑换积分次数高达300次,套利特征明显。
二是通过抽查H行20名员工客户的支付宝、京东金融和信用卡APP 中网购分期记录记录发现,20名员工白金卡分期交易均存在多获取1倍积分的情况。经行内相关部门协助核实,最终确定白金卡客户商户分期积分规则管控失效,客户多获取1倍积分。
三、案例启示
(一)对业务经营及管理的启示
一是加强系统设计与风险管理。该漏洞暴露了H行个人综合积分系统设计缺陷和风险管理不足。在信用卡消费积分规则功能工程设计阶段应充分考虑业务逻辑的严谨性和风险。二是优化积分规则与流程。积分规则不清晰或存在漏洞容易被客户恶意利用。应设置积分上限和有效期,防止积分过度累积或被滥用。加强对异常积分增长和兑换的监控。
(二)对审计工作的启示
一是将数据审计与代码审查相结合。定期对积分系统进行代码审计,有助于发现潜在逻辑漏洞,重点关注积分计算、累计和兑换的关键代码。二是将数据审计与异常监测相结合。建立全面的数据审计机制,覆盖积分系统的关键操作。注重识别异常模式(如异常积分增长、重复交易)。建立有效模型实时监控和预警,及时发现风险。通过上述措施,H行个人综合积分系统可以有效防范类似漏洞的发生,保障系统的安全性和稳定性,同时提升审计工作的效率和效果。
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)