1月10日凌晨,有网友在知乎爆料,支付宝存在一个新的致命漏洞,陌生人有1/5的机会登录你的支付宝,而熟人甚至100%可以登录你的支付宝。
据该知乎网友的聊天截图显示,熟人只需四步,就可以绕过手机验证的步骤,直接登录并篡改你支付宝密码:
1、通过支付宝APP登录——选择“忘记密码”
2、选择“手机不在身边”
3、这时支付宝会让你选择“淘宝买过的东西”(9张图片选1个)——“你可能认识的人”(9个好友选1个)——
4、只要选择成功就能重置密码了。
也就是说,只要对一个人的购物习惯以及他的圈子比较熟悉,就完全可以按照上述操作重置他的支付宝密码。
消息曝出以后马上就有网友亲测,发现只要通过以上步骤,熟人作案轻而易举。
目前微博账号@蚂蚁神盾局作出了正面回应:
简单来说就是:
仅在用户自己的手机上才能够通过识别商品和好友找回登录密码
如果支付密码(6位数字)和登录密码不同,仅仅依靠登录无法立刻执行支付操作;
支付宝有一套自己的安全评估措施,只有安全系数高的用户才可能直接回答安全问题
收到不是本人操作的短信通知提醒应立即挂失;
但就目前网友测试来看,支付宝的安全问题就算能规避陌生人重置登录密码,但是熟人作案仍然是无法避免的!
而且有知乎网友表示,账户安全险可能不理赔熟人作案。
随着互联网金融的兴起,网上支付的安全问题越来越受到网友重视。支付宝作为主流支付工具,已经不是第一次被爆出支付安全问题了,感觉支付宝负责支付宝找回密码这一流程的产品经理这次要背的锅有点沉呢...
截至目前,支付宝已经修改了一些漏洞,好友验证和购买记录验证已经被关闭,
但是其他的验证方式亲测以后,熟人作案仍然是易如反掌的...
截至发稿前,爆点亲测
在重置登录密码时选择下一步
设置过密保问题的用户会直接跳转到密保问题回答界面,但是大部分密保问题,例如父母的名字,出生年月或者喜欢的歌手,这些问题对 熟人或者亲友来说都是极易破解的。
没有设置过密保问题的,可以选择换个方式找回密码。
然后支付宝就会跳转界面至找回登录密码,并显示有四种密码找回方式,除了有回答安全保护问题以外,还有另外三个找回登录密码的方式,分别是验证已绑定的银行卡信息,验证本人银行卡信息以及拨打验证电话。
选择验证已绑定的银行卡信息时,会出现已经绑定到支付宝上的所有银行卡及卡号后四位。
选择相应银行卡进入以后,发现通过这一步骤找回登录密码,需要知道证件号以及银行卡卡号。
而以上这两个信息,在一家公司里,如员工的身份证件号码和银行卡卡号,在财务那里都是有记录可循的。
而验证本人银行卡信息,需要验证银行卡卡号,而只要是有过银行转账交易的人,银行卡卡号也是能够轻松获取的。
而最后一个拨打验证电话的找回密码方式,是需要本人绑定支付宝的手机号拨打支付宝指定电话,这一验证方式目前来说是相对安全的。
......
最后友情提醒一下前几天在票圈里疯狂晒支付宝账单的旁友们,你们的支付宝宝有危险了哦~
