1月10日凌晨,有网友在知乎发布《如何看待支付宝 1 月 10 日被曝光的非密码登录模式下可能出现的账户安全风险?》的帖子,并爆料:
支付宝存在一个新的致命漏洞:陌生人有1/5的机会登录你的支付宝,不过,经过邦哥亲测,根据选择图片的验证操作,陌生人破解支付宝密码的机会并没有那么高,实际为1/81。但熟人确实可以100%登录你的支付宝。
在该知乎网友的爆料贴上,不仅给出了具体的篡改密码的方法:1、打开支付宝登录界面,输入帐号后点击忘记密码;2、输入帐号后直接点无法接收短信;3验证方式选择熟人验证;4、更改密码。
最恐怖的是:若判定为熟人作案 ,支付宝不予理赔:有一位网友的支付宝被盗刷,但是支付宝却用疑似“熟人作案”一口回绝,不给赔付!
支付宝独家回复:
上诉情况仅在特定情况下实现
目前已提高用户安全等级
此消息一经爆出,便引起各大媒体的高度关注,而网友们也纷纷表示出对此的恐慌,邦哥第一时间联系到了支付宝工作人员并得到回复:
疑似阿里员工回应:
10天前就在内网反馈过了
但支付宝的人表示情况没那么糟!
针对以上帖子爆料的问题,在帖子下方有疑似阿里内部员工进行回复称:早在10天前就在内网反馈过了,后来支付宝的人解释了一下情况没大家想的那么糟。
这个问题我10几天前就在内网反馈过了,后来支付宝的人解释了一下情况没大家想的那么糟,据说是有环境判断的,什么同一mac地址上登录的支付宝账号数量之类的(然而我家路由器没设wifi密码啊WTF),另外还有支付密码,所以即使盗了最多刷走点小额,以及搞个朋友圈行骗之类的。
关于“小额”:我的=>设置=>支付设置=>免密支付=>小额免密支付。可以调额度,也可以关掉。
邦哥亲测:
漏洞属实,但不是100%
经邦哥亲测,发现此确实漏洞属实!目前已成功修改 2 个同事的密码,并准备稍后去超市进行大采购。
同时知乎上的 Ef frts 也表示自己可以成功进入到 3 个朋友的修改修改密码界面!
在自己手机上试了三个朋友和父母均成功进行到修改密码的界面!
陌生人盗取有困难,但只是几率问题.....
选择题有购买的物品、可能认识的人和在哪个wifi下登陆过(我试的只出了这三种)
除了做选择题 还可以通过身份证号码验证!
但邦哥也发现,几率并不是100%
在邦哥的试验中发现:并不是每一次都会进入到熟人验证的界面!
稍微危险些的有可以直接填写身份证号就可以重置密码。(在信息泄露严重的今天,拿到身份证号太简单了!)
安全一些的就只能进行刷脸、银行卡信息、拨打验证电话验证!
最安全的就是只能用拨打验证电话验证!!!!
阿里蜜汁自信:
支付宝会“帮”你考虑账户安全
然后提供召回密码的选项!
对此,邦哥询问了一下支付宝的客服,客服的回应是:
这个情况是因为支付宝会综合考虑账户安全,然后直接提供的选项,这个选项是无法修改的!(支付宝对自己非常自信,这也太呵呵了吧!)
“紧急”解决方案
其实,在用户隐私被泄露严重的今天,支付宝提供的很多重置密码的方法确实容易被不法人士利用。贴心的邦哥特地为大家搜索到了紧急解决方案:
如突然收到支付宝发来的验证码短信,说明有人尝试登录你的支付宝账号,请立刻进入支付宝客户端。
点击【我的】→【账户】→【设置】→【安全中心】→【急救包】→【快速挂失】,阻碍任何人登录你的账号,并且阻止资金的转入转出。
当然了,还是希望支付宝可以重视产品上的逻辑错误,努力寻找解决方法,从源头上杜绝盗刷等问题!
- END -
邦哥的好朋友毒舌科技 l ID:dushekeji
长 按 二 维 码 , 一 键 关 注
更多精彩文章: