螞蟻金服遭遇了“多事之冬”。就在招財寶違約風波尚未平靜之時,支付寶再次陷入安全性質疑。1月10日上午,一位用戶在社交平台爆料稱,支付寶被發現新的漏洞,熟人只要知道你最近買過的東西,并且二人有共同好友,就能較為輕易地通過驗證,成功登錄你的支付寶賬戶。一石激起千層浪,就在用戶質疑支付寶安全性之餘,也把好友驗證的這種方式看做變相“著補”社交短板,甚至有用戶喊話支付寶關閉社交功能。從安全角度來考慮,業內人士建議,用戶可以關閉免密支付。
熟人可輕鬆“作案”
1月10日上午,一篇《網曝支付寶新漏洞:熟人可100%登錄篡改你支付寶密碼》的文章在市場上廣為流傳。據該文章披露,支付寶存在新漏洞:陌生人有5分之1的機會登錄你的支付寶,熟人則有100%的機會登錄你的支付寶。
具體操作方法為,在“登錄手機賬號”環節選擇“忘記密碼”和“手機不在身邊”,就可以繞開以短信驗證碼的方式進行驗證;接下來,支付寶會提供一種熟人驗證的選擇,以“淘寶買過的東西9張圖片選1個”和“好友驗證9個好友圖片選1個”來核驗身份,只要選對就可以登陸成功。
雖然有支付寶員工指出,選擇圖片時只能選擇一次,選錯就不能通過驗證。但不少用戶都反駁稱,只要知道本人近期在淘寶買過的東西,以及有共同好友,就很容易完成,這樣的驗證方式安全性很低。一位支付寶用戶康先生對北京商報記者表示,他把自己的2張借記卡和4張信用卡都綁定了支付寶,一旦賬戶被他人登陸,6張銀行卡都存在風險。
加劇用戶擔憂的是,還有消息稱,曾有用戶在被熟人盜取了賬號後,支付寶客服人員以“熟人作案,支付寶不予理賠”回應。
對此,1月10日上午,支付寶官微緊急回應稱,通常情況下,用戶找回登錄密碼至少需要輸入手機短信驗證碼,只有對於部分暫時無法收到短信的用戶或者更換移動設備的用戶,風控系統才會先進行評估(比如賬戶信息完整程度、網絡環境等因素),并在安全系數較高的情況下,才讓用戶回答一系列安全問題,只有在回答正確後,才能修改登錄密碼。 |
