支付寶回應熟人可修改密碼漏洞:僅在特定情況下可行,已提高安全等級

今日早間,有網友發現了支付寶的一個致命漏洞,熟知你支付寶個人信息的人可以通過「找回密碼」功能登錄你的支付寶並修改登錄密碼。

大致方法是,在登錄界面點擊「忘記密碼」,然後在重置登錄密碼界面選擇無法接收短訊(手機不在身邊),然後這時候,只需要通過選對一些個人信息,即可「重置登錄密碼」。

選擇不通過接受驗證碼重置密碼

這些個人信息可能是從九個圖中選出你的好友、選出你近期購買的物品、選出一個與你有關的地址、填寫你的真實姓名和身份證號、或者驗證你的銀行卡信息等。

支付寶會讓你選擇你的個人相關信息

這意味着,只要是對賬號主人比較熟悉的人,就可以重置其登陸密碼。用類似的方法,36氪在成功修改了數個支付寶賬號的密碼,並登入相應賬號。

支付有時候需要支付密碼,但有的賬號已經開通了小額免密支付,對於小額支付就不需要輸入密碼;此外,在線下當面掃碼付款的場景中,也是不需要支付密碼的。因此,成功修改了密碼的人即便不知道支付密碼,也可以用修改了密碼的賬號消費。

此外,有媒體指出,即便是陌生人,通過上述方式,也有可能碰巧成功選中了購買的商品和朋友。除了以此來進行大額消費之外,也有可能通過此來獲取賬號信息,或者對支付寶好友實行詐騙。

此事在網上引起熱議,網友們表示希望支付寶儘快完善上述漏洞。

午間,針對網友們曝出的漏洞,螞蟻金服安全中心官方微博發佈回應稱,這一方式僅在特定情況下才會實現,對於無法接收短訊或者更換了設備的用戶,風控系統會評估過賬戶安全係數等因素的情況下才會讓用戶回答問題重置密碼。而且,一旦用戶支付寶在其他設備被登錄,本人設備會收到通知提醒。

經36氪確認,被修改了密碼的支付寶用戶,確實表示收到了通知。

另外,支付寶還表示,為提升用戶安全感,在接到網友反映后,今日上午,已經進一步提高了風控系統的安全等級。目前僅在用戶自己的手機上,才能通過識別近期購買商品以及識別本人好友來找回登錄密碼,通過其他手機設備是無法應用這一方式找回登錄密碼。

螞蟻神盾局的回復


想在手機閱讀更多電子商貿資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems