支付寶回應「熟人可重置登錄密碼」漏洞,但是這個回應依然有問題

alipay_logo_latest

今天早上網曝支付寶漏洞顯示, 熟人有 100%機會登錄你的支付寶 。漏洞原理是這樣的:登錄手機賬號——忘記密碼——手機不在身邊——淘寶買過的東西 9 張圖片選 1 個——好友驗證 9 個好友圖片選 1 個——登錄成功。這時就可以直接掃二維碼付款不用密碼。

關於此事,支付寶官方回應剛剛出來。簡單的說就是:

  • 支付密碼(6 位數字)和登錄密碼不同 ,僅僅登錄無法立刻執行支付操作;
  • 收到不是本人操作的短訊通知提醒應立即掛失
  • 目前支付寶聲稱, 僅在用戶自己的手機 上才能夠通過識別商品和好友找回登錄密碼。

但是,我自己親自試驗發現:

  1. 完全陌生人的賬號 找回確實不能識別商品和好友;
  2. 但是已經在你好友名單中的人,還是可以用這個辦法找回。 換句話說,你親友的手機可以用這個辦法登錄你的賬號,依然不能避免熟人作案。
  3. 有部分網友自述經歷稱, 賬戶安全險可能不理賠熟人作案

針對熟人作案問題,支付寶為我提供了一個過去的案例:一位名為「星小白」的網友發文稱《支付寶賬戶只有 200 餘額仍被盜刷萬元》,結果盜刷「星小白」賬戶的「黑客」正是其相識十年、準備結婚的男友林浩。 林浩因盜竊罪,被判處拘役六個月,並處罰金 2000 元

就此問題我還在繼續接觸支付寶,並等待他們的後續回復。

官方回應全文:

我們接到網友反映,稱可以通過識別好友、識別近期購買物品,來找回支付寶登錄密碼。

這一方式僅在特定情況下才會實現。通常情況下,用戶找回登錄密碼至少需要輸入手機短訊驗證碼。對於部分暫時無法收到短訊的用戶或者更換移動設備的用戶,我們的風控系統會先進行評估(比如賬戶信息完整程度、網絡環境等因素)。在安全係數較高的情況下,才讓用戶回答一系列安全問題,只有在回答正確后,才能修改登錄密碼。

這一策略只能找回登錄密碼,僅通過回答安全問題並無法找回支付密碼。且一旦用戶支付寶在其他設備被登錄,本人設備會收到通知提醒。

為了更好提升用戶的安全感,在接到網友反映后,我們於今日上午進一步提高了風控系統的安全等級。目前僅在用戶自己的手機上,才能通過識別近期購買商品以及識別本人好友來找回登錄密碼,通過其他手機設備是無法應用這一方式找回登錄密碼的。

我們也歡迎用戶繼續對我們的安全策略提出意見和建議,我們會根據大家的反饋進一步完善和修正。


想在手機閱讀更多電子商貿資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems