1月10日上午,社交網絡被支付寶的安全漏洞事件刷屏,不少用戶曬出自己“攻破”熟人支付寶賬戶的截圖。
針對網友反映的“可以通過識別好友、識別近期購買物品,來找回支付寶登錄密碼”等問題,支付寶官方於10日中午向記者回應稱,已於當日上午進一步提高了風控系統的安全等級,這一安全漏洞已經被堵上。
網傳“攻破”支付寶方法
10日,有網友在網上稱可以更改別人支付寶賬戶的密碼,甚至可以不用別人原密碼直接用手機號進行更改。
網上流傳的“攻破”支付寶方法為:打開支付寶登錄界面——輸入熟人的支付寶賬戶(一般為手機號或者郵箱號)——點擊忘記密碼(支付寶隨後會向手機號發送驗證短信)——點擊無法接收短信——支付寶界面出現識別熟人近期購買物品、識別好友的驗證(均為9張圖選1)——驗證通過後即可修改登錄密碼,還可以直接掃二維碼付款不用密碼。
這意味著,只要熟知好友近期的購買行為和關系圈,就可以登錄并修改好友的支付寶登錄密碼;對於陌生人而言,也有1/81的概率登錄他人的支付寶賬戶。
支付寶稱漏洞已堵上
支付寶隨即發布官方聲明稱,網友反映的這一方法僅在特定情況下才會實現。通常情況下,用戶找回登錄密碼至少需要輸入手機短信驗證碼。對於部分暫時無法收到短信的用戶或者更換移動設備的用戶,風控系統會先進行評估(比如賬戶信息完整程度、網絡環境等因素)。在安全系數較高的情況下,才讓用戶回答一系列安全問題,只有在回答正確後,才能修改登錄密碼。 |
