“只要知道你支付寶裡的好友,或者你最近在淘寶買了什麼,就能隨意更改你的支付寶登錄密碼。”10日,一則名為《網曝支付寶新漏洞:熟人可100%登錄篡改你支付寶密碼》的報道,在各大論壇上引爆關注度。熟人,在這一瞬間似乎變成了帶有“馬賽克”的黑衣人,讓所有支付寶使用者惴惴不安。不過,在此問題曝出之後,支付寶隨即提高安全等級。但是一場安全性與便捷性平衡的話題,再度被推上了輿論的制高點。
網曝登錄密碼被疑熟人可改
據此前媒體報道稱,支付寶存在一個致命漏洞,即他人可以通過支付寶的“找回密碼”重置你的支付寶登錄密碼,并表示“陌生人有1/5的機會登錄你的支付寶,而熟人甚至100%可以登錄你的支付寶”。
實際上,在新設備上登錄支付寶時,通常需要用戶重新輸入密碼才能進入支付寶。不過,在輸入密碼時,密碼框下有一個“找回密碼”的按鈕。點擊按鈕之後,支付寶提供多種找回密碼的方式,除了發送手機驗證碼之外,還有識別最近購買的東西或識別好友、回答安全性問題等選項。而後兩者則主要是在“無法收到手機短信”的前提下進行的。
也就是說,如果別人知道最近你的購買記錄、知道你的好友是誰,或者你設置的問題別人全部知道,就有可能通過這樣的設定來修改支付寶的登錄密碼。
回應支付寶迅速提高安全等級
對此,支付寶負責人向北京晨報記者回應,這一方式僅在特定情況下才會實現,這一策略只能找回登錄密碼,僅通過回答安全問題并無法找回支付密碼,不能完成支付。而所謂的特定條件,是支付寶會先對網絡環境、賬戶信息完整程度等進行評估,安全系數高的情況下才會啓動。且一旦用戶支付寶在其他設備被登錄,本人設備會收到通知提醒。 |