中国商报/中国商网 1月10日电 (记者 房雅楠)1月10日凌晨有网友惊讶的发现支付宝可以更改别人的密码,甚至不用输入原密码,只要有被篡改人的手机号码即可。
按照该网友的说法,支付宝的漏洞原理如下:支付宝APP登录——选择“忘记密码”——选择“手机不在身边”——这时支付宝会让你选择“淘宝买过的东西”(9张图片选1个)——“你可能认识的人”(9个好友选1个)——如果选择对就可以重置密码,且成功率较高。这对广大支付宝用户的财产安全无疑造成了不小的威胁。
支付宝随即作出回应:“为了更好提升用户的安全感,在接到网友反映后,我们于今日上午进一步提高了风控系统的安全等级。”
其在官方声明中称,这一方式仅在特定情况下才会实现。通常情况下,用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户,支付宝的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。
支付宝还称,这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。
中国商报记者于上午11时左右登陆支付宝进行试验,找回登陆密码的方式已变成“刷脸验证”、“验证本人银行卡信息”和“拨打验证电话”。据支付宝介绍,目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。
这让记者回想起,前不久,支付宝才刚经历了一次AR红包漏洞。
2016年12月,支付宝在新版推出了AR红包玩法,这是基于高德地图LBS位置信息和AR场景应用的AR红包。不过随后被网友找到漏洞,通过PS技术,获取红包。对于存在的漏洞支付宝官方发布微博表示,已经对AR红包进行了产品技术上的升级,扫描他人屏幕线索图领取红包的概率已经进一步降低到万分之几的概率,通过PS抢到红包的概率也大幅降低。
于是,记者通过“考古”发现,支付宝时有漏洞发生:例如,2016年5月有人曝光支付宝APP转账漏洞:通过支付宝转账,即使输错账号,退款到原有账户,转账处理页面也会显示“付款成功”字样。这其实和上面的银行短信提醒漏洞有相似之处。
随后,支付宝弥补了这个漏洞。在发起转账后,将原来界面的“付款成功”改为“申请已提交”,将“银行处理中”修改为“等待银行处理”,同时又在下方添加了显著的温馨提示:本页不作为转账成功凭据,实际以银行入账为准。
2015年10月,一则关于支付宝实名认证出现漏洞的消息闹得沸沸扬扬:一位网友称,自己的实名认证信息下多出5个未知账户。随后支付宝回应称,如果发现支付宝实名认证账户下出现其他关联账户,是因为账户持有人存在身份证等个人隐私信息泄露的情况,导致被关联认证,且子账户不能用认证身份借款。
2014年2月,淘宝和支付宝认证被爆存在安全缺陷,黑客可以简单利用该漏洞登陆他人淘宝/支付宝账号进行操作,危害等级高。
今后,支付宝用户应当如何避免系统漏洞可能带来的财产风险?可以设置更高难度的安全问题,或者调低花呗额度,当发觉疑有支付宝被盗用迹象,可立即挂失:在“我的”——“设置”——“安全中心”——“急救包”中选择“快速挂失”,挂失后“资金不进不出,任何人无法登录”。
