针对“熟人登陆”漏洞 支付宝称已经提高了安全等级

作者:王付娇 来源:界面新闻
2017-01-10 16:29:40
分享

针对“熟人登陆”漏洞 支付宝称已经提高了安全等级

图片来源:网络

1月10日凌晨,有消息称支付宝存在一个新的漏洞:陌生人有1/5的机会登录你的支付宝,而熟人甚至100%可以登录你的支付宝。

按照漏洞提示,只需四步熟人即可登录并篡改你支付宝密码:1、打开支付宝登录界面,输入帐号后点击忘记密码;2、输入帐号后直接点无法接收短信;3、验证方式选择熟人验证;4、更改密码。

今晨10点左右,界面新闻记者在发现漏洞后尝试过一次,成功过一次,直接可以进入扫码付款阶段、也能成功修改密码。一台手机修改一次后就不会再显示“熟人验证”模式。

针对“熟人登陆”漏洞 支付宝称已经提高了安全等级

截至到11点记者发稿时,“熟人验证”模式已经没有出现在登陆密码的找回页面中了。目前只能通过“刷脸验证”、“验证本人银行卡信息”、“拨打验证电话”三种方式找回登陆密码。对方账号暂时是安全的(记者尝试登陆的是亲友支付宝号码,请勿轻易模仿)。

针对“熟人登陆”漏洞 支付宝称已经提高了安全等级

蚂蚁金服在收到该漏洞后对界面新闻记者表示:

我们接到网友反映,称可以通过识别好友、识别近期购买物品,来找回支付宝登录密码。

这一方式仅在特定情况下才会实现。通常情况下,用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户,我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。

这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。

为了更好提升用户的安全感,在接到网友反映后,我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。

我们也欢迎用户继续对我们的安全策略提出意见和建议,我们会根据大家的反馈进一步完善和修正。

针对“熟人登陆”漏洞 支付宝称已经提高了安全等级

  这已经不是支付宝第一次出现安全问题了。

2016年4月,《我用十天追回支付宝盗刷25000元的奇葩经历》一文受到关注。文中详细描述了该用户被盗刷的经历,并收到了支付宝官方的回复。

与此次事件相关联的是,如果支付宝方面判定是“熟人作案”,是不在理赔范围之内的。你所买购买的账户安全险可能并没有任何作用。而此次账户被盗正是利用了支付宝的熟人关系。

有意思的是,在知乎网友爆料中,有一位阿里员工称,“这个问题我10几天前就在内网反馈过了,后来支付宝的人解释了一下情况没大家想的那么糟,据说是有环境判断的。”

他所指的环境判断是,同一mac地址登陆的支付宝账户可以验证登陆环境、还有登陆密码。该员工称,“所以即使盗了最多刷走点小额,以及搞个朋友圈行骗之类的。关于‘小额’:【我的】=>【设置】=>【支付设置】=>【免密支付】=>【小额免密支付】,可以调额度,也可以关掉。”

个人的支付宝账户除了绑定的银行卡外,还有花呗、借呗等互联网金融产品。界面新闻提醒,如果收到支付宝发来的验证码短信,说明有人尝试登录你的支付宝账号,请立刻进入支付宝客户端,点击【我的】→【账户】→【设置】→【安全中心】→【急救包】→【快速挂失】,阻碍任何人登录你的账号,并且阻止资金的转入转出。

截至记者发稿时,还没有收到因该漏洞出现实际受损或被盗的信息。

分享

推荐