专栏名称: 创业邦
创业邦唯一官方微信,中国最权威的创业服务平台。旗下有创业邦杂志、创业邦网站、孵化器等服务。我们是中国最有影响力的创新创业产品展示活动 DEMO CHINA「创新中国」主办方。创业邦官网:www.cyzone.cn
51好读  ›  专栏  ›  创业邦

熟人能篡改你的支付宝密码?支付宝回应:特定情况下可实现,问题已解决!

创业邦  · 公众号  · 科技媒体  · 2017-01-10 12:13

正文

1月10日凌晨,有网友在知乎发布《如何看待支付宝 1 月 10 日被曝光的非密码登录模式下可能出现的账户安全风险?》的帖子,并爆料:


支付宝存在一个新的致命漏洞:陌生人有1/5的机会登录你的支付宝,不过,经过邦哥亲测,根据选择图片的验证操作,陌生人破解支付宝密码的机会并没有那么高,实际为1/81。但熟人确实可以100%登录你的支付宝。


在该知乎网友的爆料贴上,不仅给出了具体的篡改密码的方法:1、打开支付宝登录界面,输入帐号后点击忘记密码;2、输入帐号后直接点无法接收短信;3验证方式选择熟人验证;4、更改密码。


最恐怖的是:若判定为熟人作案 ,支付宝不予理赔:有一位网友的支付宝被盗刷,但是支付宝却用疑似“熟人作案”一口回绝,不给赔付!



 支付宝独家回复:

上诉情况仅在特定情况下实现

目前已提高用户安全等级


此消息一经爆出,便引起各大媒体的高度关注,而网友们也纷纷表示出对此的恐慌,邦哥第一时间联系到了支付宝工作人员并得到回复:



 疑似阿里员工回应:

 10天前就在内网反馈过了 

 但支付宝的人表示情况没那么糟!


针对以上帖子爆料的问题,在帖子下方有疑似阿里内部员工进行回复称:早在10天前就在内网反馈过了,后来支付宝的人解释了一下情况没大家想的那么糟。



这个问题我10几天前就在内网反馈过了,后来支付宝的人解释了一下情况没大家想的那么糟,据说是有环境判断的,什么同一mac地址上登录的支付宝账号数量之类的(然而我家路由器没设wifi密码啊WTF),另外还有支付密码,所以即使盗了最多刷走点小额,以及搞个朋友圈行骗之类的。


关于“小额”:我的=>设置=>支付设置=>免密支付=>小额免密支付。可以调额度,也可以关掉


 邦哥亲测:

 漏洞属实,但不是100% 


经邦哥亲测,发现此确实漏洞属实!目前已成功修改 2 个同事的密码,并准备稍后去超市进行大采购。


同时知乎上的 Ef frts 也表示自己可以成功进入到 3 个朋友的修改修改密码界面!



在自己手机上试了三个朋友和父母均成功进行到修改密码的界面!
陌生人盗取有困难,但只是几率问题.....
选择题有购买的物品、可能认识的人和在哪个wifi下登陆过(我试的只出了这三种)
除了做选择题 还可以通过身份证号码验证!


但邦哥也发现,几率并不是100%


在邦哥的试验中发现:并不是每一次都会进入到熟人验证的界面!


稍微危险些的有可以直接填写身份证号就可以重置密码。(在信息泄露严重的今天,拿到身份证号太简单了!)



安全一些的就只能进行刷脸、银行卡信息、拨打验证电话验证!



最安全的就是只能用拨打验证电话验证!!!!



 阿里蜜汁自信:

 支付宝会“帮”你考虑账户安全 

 然后提供召回密码的选项!


对此,邦哥询问了一下支付宝的客服,客服的回应是:


这个情况是因为支付宝会综合考虑账户安全,然后直接提供的选项,这个选项是无法修改的!(支付宝对自己非常自信,这也太呵呵了吧!)



 “紧急”解决方案 


其实,在用户隐私被泄露严重的今天,支付宝提供的很多重置密码的方法确实容易被不法人士利用。贴心的邦哥特地为大家搜索到了紧急解决方案:


如突然收到支付宝发来的验证码短信,说明有人尝试登录你的支付宝账号,请立刻进入支付宝客户端。

点击【我的】→【账户】→【设置】→【安全中心】→【急救包】→【快速挂失】,阻碍任何人登录你的账号,并且阻止资金的转入转出。


当然了,还是希望支付宝可以重视产品上的逻辑错误,努力寻找解决方法,从源头上杜绝盗刷等问题!


END -

邦哥的好朋友毒舌科技 l ID:dushekeji

长  按  二  维  码 , 一  键  关  注


更多精彩文章: