支付寶炸了,快遞小哥都能刷走你賬戶的錢

1 月 10 日凌晨突發新聞,有網友爆料支付寶新漏洞,熟人幾乎可以百分之百修改你的登錄密碼,登錄支付寶后還可以直接用付款碼付款,支付寶賬單也可以刪除,支付密碼則可以用完整銀行卡號修改。經過我同事張信宇的試驗,確實可以輕鬆破解身邊女友的賬戶,成功修改密碼登錄。

知乎上也有相關的提問《如何看待支付寶 1 月 10 日被曝光的非密碼登錄模式下可能出現的賬戶安全風險?》,提問中給出了比較詳盡的破解方法:登錄手機賬號——忘記密碼——手機不在身邊——淘寶買過的東西 9 張圖片選 1 個——好友驗證 9 個好友圖片選 1 個——修改密碼——登錄成功。

11

退出自己的賬號,進入支付寶登錄界面,輸入帳號(手機)後點擊忘記密碼。接收校驗碼的時候選擇無法接收短訊。

22

選擇熟人驗證的方式,選擇該賬號主人認識的人和常用地址

33

更改賬戶密碼,成功登錄。隨意使用免密支付和付款碼。得到銀行卡號或者刷臉登陸的動圖后可以修改支付密碼。

這裡的「熟人」不僅僅指的是你身邊的朋友,包括知道你地址、手機號、愛買什麼的淘寶店家和快遞小哥。另外,你的身份證號也不是什麼多難拿到的東西。

截至發稿前,好像支付寶已經修改了這個驗證方式:

WechatIMG23

支付寶這種驗證方式很像機械模仿微信后的結果(可是關係到了支付安全),根據知乎網友,手機淘寶前端老大 Winter 所說,這個漏洞十幾天前就被發現過了,但是並沒有被重視起來。

6

有不少人都宣稱要把支付寶好友都刪了,這樣就不會有熟人驗證的尷尬和朋友圈行騙的事情發生了。

為了安全保險起見,建議你可以做以下幾件事:

1.餘額和餘額寶中的錢全部轉出

2.「我的-點擊最上方卡片-我的銀行卡-選擇銀行卡-右上角管理-刪除」

3.關閉小額免密支付:「設置-支付設置-免密支付-小額免密支付」

WechatIMG25

4.如果發現自己的賬號被登錄了,可以在「我的-設置-賬戶與安全-安全中心-急救包」中選擇快速掛失

WechatIMG24

但是還可以通過手機號和身份證號解除掛失。只能不斷掛失解掛,直到綁定新的手機號。

5. 花唄額度調到最低的 500 :「我的-螞蟻花唄-設置-額度設置」

6.購買支付寶內置的 2 元的賬戶安全險:「我的-保險服務」

7.登錄支付寶 PC 網頁版,設置安全問題

8.不建議設置刷臉登錄

目前支付寶螞蟻神盾局給出的回應,為了證明支付寶的可靠性,支付寶公關們也紛紛曬出了自己的支付寶賬戶邀請大家來測試刷錢:

24

相關閱讀:

    年度「音樂日曆大曬」開始了,一起多秀歌單,少曬賬單吧

    QQ暗指支付寶抄襲AR紅包創意:我們11月就想出來啦

    支付寶今年不讓你搶「敬業福」了,但設計出一個更拉仇恨的……

    我有一個夢想,「雙十二」不再有電信詐騙


想在手機閱讀更多電子商貿資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems