1月10日淩晨有網友驚訝的發現支付寶可以更改別人的密碼,甚至不用輸入原密碼,只要有被篡改人的手機號碼即可。
按照該網友的說法,支付寶的漏洞原理如下:支付寶APP登錄——選擇“忘記密碼”——選擇“手機不在身邊”——這時支付寶會讓你選擇“淘寶買過的東西”(9張圖片選1個)——“你可能認識的人”(9個好友選1個)——如果選擇對就可以重置密碼,且成功率較高。這對廣大支付寶用戶的財產安全無疑造成了不小的威脅。
支付寶隨即作出回應:“為了更好提升用戶的安全感,在接到網友反映後,我們於今日上午進一步提高了風控系統的安全等級。”
其在官方聲明中稱,這一方式僅在特定情況下才會實現。通常情況下,用戶找回登錄密碼至少需要輸入手機短信驗證碼。對於部分暫時無法收到短信的用戶或者更換移動設備的用戶,支付寶的風控系統會先進行評估(比如賬戶信息完整程度、網絡環境等因素)。在安全系數較高的情況下,才讓用戶回答一系列安全問題,只有在回答正確後,才能修改登錄密碼。
支付寶還稱,這一策略只能找回登錄密碼,僅通過回答安全問題并無法找回支付密碼。且一旦用戶支付寶在其他設備被登錄,本人設備會收到通知提醒。
中國商報記者於上午11時左右登陸支付寶進行試驗,找回登陸密碼的方式已變成“刷臉驗證”、“驗證本人銀行卡信息”和“撥打驗證電話”。據支付寶介紹,目前僅在用戶自己的手機上,才能通過識別近期購買商品以及識別本人好友來找回登錄密碼,通過其他手機設備是無法應用這一方式找回登錄密碼的。
這讓記者回想起,前不久,支付寶才剛經歷了一次AR紅包漏洞。
2016年12月,支付寶在新版推出了AR紅包玩法,這是基於高德地圖LBS位置信息和AR場景應用的AR紅包。不過隨後被網友找到漏洞,通過PS技術,獲取紅包。對於存在的漏洞支付寶官方發布微博表示,已經對AR紅包進行了產品技術上的升級,掃描他人屏幕綫索圖領取紅包的概率已經進一步降低到萬分之幾的概率,通過PS搶到紅包的概率也大幅降低。 |
