支付寶漏洞熟人可輕鬆破解密碼,回應稱已提高安全等級

支付寶漏洞熟人可輕鬆破解密碼,回應稱已提高安全等級

【獵雲網(微信:ilieyun)北京】1月10日報道(文/陸陽平)

1月10日凌晨,有網友在知乎爆料,支付寶存在一個新的致命漏洞,陌生人有1/9的機會登錄你的支付寶,而熟人甚至100%可以登錄你的支付寶。

按照網友的說法,支付寶的漏洞原理如下:通過支付寶APP登錄——選擇「忘記密碼」——選擇「手機不在身邊」——這時支付寶會讓你選擇「淘寶買過的東西」(9張圖片選1個)——「你可能認識的人」(9個好友選1個)——只要選擇對就可以重置密碼了。

獵雲網(微信:ilieyun)經過實測,發現只要對一個人的購物習慣以及他的圈子比較熟悉的,按照上述操作的確可以很快破解,然後重置密碼。

不過,根據選擇圖片的驗證操作,陌生人破解支付寶密碼的機會並沒有1/9那麼高,實際為1/81。但若為熟人操作,則賬戶被登錄的成功率極高。

12點左右,支付寶官方微博回應稱, 在接到網友反映后,進一步提高了風控系統的安全等級。目前僅在用戶自己的手機上,才能通過識別近期購買商品以及識別本人好友來找回登錄密碼,通過其他手機設備是無法應用這一方式找回登錄密碼的。

需要注意的是,支付寶在線上支付中需要支付密碼,但在當面掃碼付款中沒有防護手段。 獵雲網建議用戶支付寶的小額免密支付謹慎開啟。而如果支付寶用戶突然收到支付寶發來的驗證碼短訊,說明有人嘗試登錄你的支付寶賬號,請立刻進入支付寶客戶端,點擊【我的】→【賬戶】→【設置】→【安全中心】→【急救包】→【快速掛失】,阻礙任何人登錄你的賬號,並且阻止資金的轉入轉出。

以下為支付寶回應全文:

我們接到網友反映,稱可以通過識別好友、識別近期購買物品,來找回支付寶登錄密碼。

這一方式僅在特定情況下才會實現。通常情況下,用戶找回登錄密碼至少需要輸入手機短訊驗證碼。對於部分暫時無法收到短訊的用戶或者更換移動設備的用戶,我們的風控系統會先進行評估(比如賬戶信息完整程度、網絡環境等因素)。在安全係數較高的情況下,才讓用戶回答一系列安全問題,只有在回答正確后,才能修改登錄密碼。

這一策略只能找回登錄密碼,僅通過回答安全問題並無法找回支付密碼。且一旦用戶支付寶在其他設備被登錄,本人設備會收到通知提醒。

為了更好提升用戶的安全感,在接到網友反映后,我們於今日上午進一步提高了風控系統的安全等級。目前僅在用戶自己的手機上,才能通過識別近期購買商品以及識別本人好友來找回登錄密碼,通過其他手機設備是無法應用這一方式找回登錄密碼的。

我們也歡迎用戶繼續對我們的安全策略提出意見和建議,我們會根據大家的反饋進一步完善和修正。

支付寶

2016年度CEO峰會暨獵雲網創投頒獎盛典圓滿結束,創投大咖分享及精彩回顧點擊這裡——獵雲網

本文來自獵雲網,如若轉載,請註明出處:http://www.lieyunwang.com/archives/260644


想在手機閱讀更多電子商貿資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems