支付寶回應密碼漏洞問題:安全等級已升級,用戶資金不受影響

鈦媒體註:今天在朋友圈的又傳瘋了一條阿里巴巴的壞消息——支付寶出現了重大的漏洞,熟人在知曉你的支付寶個人信息后,可以通過「找回密碼」功能登錄並篡改支付寶密碼。網上曝光的支付寶漏洞原理如下:

在打開支付寶登錄界面,輸入帳號後點擊忘記密碼,在重置登錄密碼中選擇無法接受短訊,然後通過個人信息驗證即可「重置登錄密碼」。其中個人信息可能是識別好友、識別近期購買物品、真實姓名和身份證號等,比如:

淘寶買過的東西9張圖片選1個,或者好友驗證9個好友圖片選1個,選擇正確便會登錄成功。這時就可以直接掃二維碼付款不用密碼。

而根據網友的測試,陌生人有五分之一的機會登錄你的支付寶,而熟人則有百分之百的機會登錄你的支付寶。

在本次漏洞發生不久之後,支付寶通過「螞蟻神盾局」微博發出了聲明:

我們接到網友反映,稱可以通過識別好友、識別近期購買物品,來找回支付寶登錄密碼。

這一方式僅在特定情況下才會實現。通常情況下,用戶找回登錄密碼至少需要輸入手機短訊驗證碼。對於部分暫時無法收到短訊的用戶或者更換移動設備的用戶,我們的風控系統會先進行評估(比如賬戶信息完整程度、網絡環境等因素)。在安全係數較高的情況下,才讓用戶回答一系列安全問題,只有在回答正確后,才能修改登錄密碼。

這一策略只能找回登錄密碼,僅通過回答安全問題並無法找回支付密碼。且一旦用戶支付寶在其他設備被登錄,本人設備會收到通知提醒。

為了更好提升用戶的安全感,在接到網友反映后,我們於今日上午進一步提高了風控系統的安全等級。目前僅在用戶自己的手機上,才能通過識別近期購買商品以及識別本人好友來找回登錄密碼,通過其他手機設備是無法應用這一方式找回登錄密碼的。

我們也歡迎用戶繼續對我們的安全策略提出意見和建議,我們會根據大家的反饋進一步完善和修正。

支付寶官方微博也在第一時間轉發了這條微博,並聲稱,

為了更好提升用戶的安全感,在接到網友反映后,我們於今日上午進一步提高了風控系統的安全等級。目前僅在用戶自己的手機上,才能通過識別近期購買商品以及識別本人好友來找回登錄密碼,通過其他手機設備是無法應用這一方式找回登錄密碼的。

作為中國人最常用的「手機錢包」之一,支付寶的各種行為與表現都會被無限的放大與分析。既有支付寶VR紅包這樣被捧上天的PR舉動,有2016年全年賬單一出現便刷爆朋友圈的事件,也就有上線生活圈被罵支付寶轉型陌陌行為。

在今年的六月一號,支付寶曾經強迫所有的用戶來過兒童節,在每一位用戶名稱的背後都強制加上了「寶寶」的稱謂,這引起了廣大網友的抵觸:

不告知就改名,還以為賬戶被黑了。今天能改我的名,明天會不會改我的餘額;平時那麼多人要認馬雲當爸爸,現在人家終於稱呼你為寶寶了,又有人不樂意了;更噁心的是,這兩個字還沒法刪除,6.1-6.5號部分服務器升級暫時無法修改頭像、昵稱;……

作為一款涉及到支付、交易的軟件,最重要的是什麼?

安全。

現在沒有出現未經用戶許可,便擅自修改用戶名稱,用戶還無法操作的事情。但是這樣的漏洞出現,也無疑給支付寶的安全問題,打上了巨大的陰影。

阿里巴巴原本就是一家「業務決定論」的公司,在阿里的內部技術人員的決定也並非是「最高指示」。在知乎上《如何看待支付寶 1 月 10 日被曝光的非密碼登錄模式下可能出現的賬戶安全風險?》的話題下,有一個ID為雲舒的用戶這樣講,

首先因為對安全的理念,我們安全人員看案例,他們業務人員看概率。其次,技術發展方向,他們為了使用方便,太信任機器學習模型,太信任基於風控的控制,而忽視了傳統技術層面的強控制。

也許大體能解釋這樣的事情為何會發生。(鈦媒體編輯張霖整理報道) 

PS:螞蟻神盾局微博原版圖片

更多精彩內容,關注鈦媒體微信號(ID:taimeiti),或者下載鈦媒體App


想在手機閱讀更多電子商貿資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems