【更新支付宝回应】风控缺陷?支付宝曝“致命”漏洞,他人能改你的密码

2017-01-10 327003人围观 ,发现 39 个不明物体 漏洞资讯

今天,网上曝光支付宝“熟人可以修改登录密码”的“漏洞”。据说“陌生人有1/5的机会登录你的支付宝,而熟人甚至100%可以登录你的支付宝”,而且登录方式并没有什么技术含量。针对此事各个社区已经讨论炸锅,毕竟人们对支付宝的依赖非其他普通应用可比。

不过这个问题到底算不算漏洞,还有待讨论。即便这个所谓的“漏洞”如此粗糙,却的确存在危害性——支付宝修改密码的业务流程还是需要优化。

723109837740558020.jpg

朋友圈截图.jpg

按图索骥,小编也测了下

重置支付宝登录密码的整个过程其实非常简单,小编只花了几十秒就按照网上的“教程”全程操作了一遍:

1. 打开支付宝App登录页面,尝试登录另一小编支付宝账号,点击忘记密码

2. 输入账号后,点击无法接收短信 

3. 选择其他验证方式,找回登录密码,比如熟人验证和购买过的商品 

4. 可以重置登录密码 

IMG_1950.jpg 173787744238952781.jpg

436449795006940834.jpg 355349721322876264.jpg

IMG_1954.jpg 

应急处理

1. 转出余额

2. 解除绑定银行卡

3. 关闭小额免密支付:设置-支付设置-免密支付

4. 花呗额度调到最低的500

5. 购买支付宝内置的2元的账户安全险

6. 登录支付宝PC网页版,设置安全问题

7. 支付宝快速挂失(如果突然收到支付宝发来的验证码短信,提示有人尝试登录你的支付宝账号,大家可以立刻进入支付宝客户端,点击【我的】→【设置】→【安全中心】→【急救包】→【快速挂失】。)

不过有知乎网友反馈,挂失不一定有效:

你们以为选择挂失就安全了吗?

支付宝还有一个功能是通过淘宝登陆,对方无法登陆时,可以通过淘宝绑定账户授权登陆,然后一切保护都没有用了

知乎网友讨论

Ef frts.png

惊云.png

孙竟.png

winter.png

专家看法

安全专家云舒表示:

支付宝风控策略出了问题,我并不惊讶。我还在阿里的时候,就跟他们在邮件里面争辩过——他们一直说有风控策略,我说我这里有案例,我们已经攻击成功了,已经有事实了。然而呵呵……

IT界知名人士冯大辉(Fenng):

支付宝安全漏洞,朋友圈不下十个人说自己试了一下就可以,这些都是普通用户,然后看到一个安全高手也中招了,已经基本可以判断问题其实很严重。

但也有以前老同事说没事,支付宝有安全防护机制,可那都几年前的规则了啊…

人不能只靠经验。

FreeBuf还将对此消息做进一步追踪和更新…

【Updating…】

[12:50] 支付宝官方(蚂蚁神盾局)已对此事件作出回应:

支付宝回应.jpg

[11:45] 有网友反馈,支付宝官方发出修改密码的通知邮件:

支付宝邮件.jpg

[11:15] 当前,我们再进行测试,发现已经没有“熟人验证”,只有“银行卡号验证”和“电话验证”。

[1月10日11:00] 来自网易的消息,支付宝目前正在核查该问题。

* FreeBuf官方报道,作者:Kuma,转载请注明来自FreeBuf.COM

这些评论亮了

  • hkt (2级) 403-Forbidden 回复
    逼乎上有人说的好,因为支付宝能发现安全问题的专家都已经因为价值观问题被辞退了...手动摊手。
    )45( 亮了
  • @ DDvv  说明你老婆很早就掌握了这种技术
    )30( 亮了
  • difcareer (3级) 我在简书上发起了一个Android安全专题,分为很多个子专题... 回复
    这个问题明显不是官方说的特定情况才出现,应该是一开始都是这样,官方后台验证了一下确实如此,赶紧上几条风控策略,然后对外宣布只有特定场景才可以,后面来的人去试,发现还真有验证了,以为自己是安全的
    )27( 亮了
  • AvdelGp 回复
    支付宝是啥 :eek:
    )24( 亮了
  • 小白人人人 回复
    @ hkt 未经许可禁止转载,这个下面又可以分享,那到底可不可以分享到盆友圈?
    )22( 亮了
发表评论

已有 39 条评论

取消
Loading...
kuma

Public opinion is no more innately wise than human beings are innately kind.

29篇文章2条评论

特别推荐

关注我们 分享每日精选文章

不容错过

css.php