2016年的支付宝账单的出炉
让我们更加清楚认识到
它已经覆盖了我们衣食住行方方面面
很多人都关联了银行卡,有的还有借呗资格
所以安全性方面由不得半点马虎
不过,就在今早(10日)
关于“熟人可重置支付宝密码”的消息引爆网络
有网友爆料称
支付宝存在一个新漏洞
陌生人有机会登录你的支付宝
熟人有100%的机会登录你的支付宝
按网友的说法,原理是这样的:
登录手机账号——忘记密码——手机不在身边——淘宝买过的东西9张图片选1个——好友验证9个好友图片选1个——登录成功。这时就可以直接扫二维码付款不用密码。
有网友测试了整个过程
随后记者进行了多次测试
以下测试基于在本人手机上
做的找回密码测试
第一次按照网友所提示的界面步骤进行找回密码,出现了两个图片的问题,第一个是从九宫格里找出你认识的人,第二个是让记者找出最近买过的东西。
也有人问题2会弹出常用wifi或者地址的提问
或者
如果是身边的熟人,这两个问题确实能够回答上来。可怕的是,点击下一步,即可直!接!更!改!密!码!
不过当记者进行第二次、第三次测试找回密码的时候,都没有再出现这两个问题。而是出现了另一个界面…
其中有“身份证”修改,以及“银行卡信息”修改(帮领导买过机票啦,帮同事转过账啦…),我当着他们的面,修改了他们的支付宝密码(领导现在在我背后看着我敲下这些文字,不知道写完这篇稿子之后我会不会失业):
目前也无法得知,是因为支付宝检测支付环境后改变了找回方式,还是这种找回方式只能使用一次。
经过多次多人反复测试,发现能不能改这件事,是有几率的。有的号开始就没有,有的号试一次就没了。
当我再用这个方法改了亲人的密码后,瞬间失去了对支付宝的信任。
太可怕了!
关键是朋友们开始玩起了这个危险的游戏!!!!
登录支付宝后可以直接用付款码付款,支付宝账单也可以删除,支付密码可以用完整银行卡号修改。支付宝的支付路径还包括银行卡、花呗、付款码、余额宝、免密支付等。
蚂蚁金服回应:
已改进,提高了风控系统安全等级
今日(10日)上午,针对上述情况,蚂蚁金服方面对南都记者回应称,目前已经进行改进。提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码支付宝登陆密码是什么格式,通过其他手机设备是无法应用这一方式找回登录密码的。
回应全文——
这一方式仅在特定情况下才会实现。通常情况下,用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户,我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。
这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。
为了更好提升用户的安全感,在接到网友反映后,我们也进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。
我们也欢迎用户继续对我们的安全策略提出意见和建议,我们会根据大家的反馈进一步完善和修正。
有互联网从业人员表示这属于P0级漏洞并给出了一些补救方式——
而有朋友进一步向记者爆料称,除了支付宝找回密码漏洞外,好友通过你的手机找回淘宝APP密码更易如反掌……
如果亲朋好友或陌生人拿到了你的手机(同一设备),打开淘宝APP,选择“找回密码”,不需要短信或问题验证,即可随时重置密码……
我们要注意和做什么……
1、保管好自己的手机;可以看到,很多互联网公司的安全防控都与操作设备相关,如果你的手机借给别人或弃用、丢失,请随时注意账户安全;
2、开启短信验证并随时留意;在前面的操作中,南都君多次提示收到短信支付宝登陆密码是什么格式,想说明的是他人进行的这些操作,对用户来说并不是全盲的,只要收到异常短信(收到验证码、提示在其他地点登陆),赶紧修改密码并提升账户安全;
3、账户安全险自行考虑,如果发现异常登录、异常交易,第一时间打开支付宝急救包——
找回密码的多种体验可以理解,但网络诈骗、盗刷频现的今日,让网络支付环境更私密、更安全才能赢得更多用户。希望经过今早这次“全民黑客”事件,各大网络支付、交易平台都能进一步审视自家一系列的安全防控措施,让用户放心。
注册会员查看全部内容……
限时特惠本站每日持续更新海量各大内部创业教程,年会员只要98元,全站资源免费下载
点击查看详情
站长微信:9200327
