支付寶現重大漏洞怎麽回事?
1月10日淩晨,有網友在微博曝出支付寶登陸出現安全漏洞,熟人之間用壹方的用戶名輸入其賬戶後,不輸入密碼而選擇找回密碼的方式,在接下來的認證選項中輸入通過的朋友或熟人相關的信息,就可以成功登陸,並且可以免秘支付。
10日上午,支付寶工作人員回復《環球時報》記者采訪時稱,他們在今日壹早已經獲悉了網友曝出的信息,網友所稱的存在安全漏洞的登陸他人支付寶賬戶的選項也已經被刪除。該工作人員稱支付寶安全相關業務的工作人員正在對此進行跟進排查,還需等待才能給出外界以更為詳細的回復和解釋。
之前網友曝出的支付寶他人登陸的流程為:
1打開支付寶登錄界面,輸入帳號後點擊忘記密碼
2.輸入帳號後直接點無法接收短信
3.這裏有很多驗證方式,選擇妳所知道的方式,熟人驗證,妳知道的朋友信息
4.更改密碼,原密碼直接忘記,直接更改
5.修改完直接登入賬戶,擁有全部功能,且支持免密支付
曝料網友稱,通過支付寶該漏洞,陌生人有1/5的機會登錄他人的支付寶,而熟人甚至100%可以登錄他人支付寶。
當記者用此方法進行登陸時,支付寶“忘記密碼”的登陸流程中已經沒有通過朋友信息、熟人驗證的選項。但另有網友向《環球時報》透露說,用戶在別人手機上登陸過自己的支付寶賬戶後,再次在該手機上登陸時,仍然可找到通過朋友或者熟人信息登陸的選擇,這表明該漏洞似乎仍未被支付寶方面徹底“清除”。
針對上述情況,支付寶方面回應稱,驗證方式已升級,用戶資金安全還是可以得到保障。支付寶官方微博10日11時56分緊急回應稱,上述漏洞在“特定情況下”確實存在。“為了更好提升用戶的安全感,在接到網友反映後,我們於今日上午進壹步提高了風控系統的安全等級。目前僅在用戶自己的手機上,才能通過識別近期購買商品以及識別本人好友來找回登錄密碼,通過其他手機設備是無法應用這壹方式找回登錄密碼的。”且壹旦用戶支付寶在其他設備被登錄,本人設備會收到通知提醒。
以下為支付寶回應全文:
我們接到網友反映,稱可以通過識別好友、識別近期購買物品,來找回支付寶登錄密碼。
這壹方式僅在特定情況下才會實現。通常情況下,用戶找回登錄密碼至少需要輸入手機短信驗證碼。對於部分暫時無法收到短信的用戶或者更換移動設備的用戶,我們的風控系統會先進行評估(比如賬戶信息完整程度、網絡環境等因素)。在安全系數較高的情況下,才讓用戶回答壹系列安全問題,只有在回答正確後,才能修改登錄密碼。
這壹策略只能找回登錄密碼,僅通過回答安全問題並無法找回支付密碼。且壹旦用戶支付寶在其他設備被登錄,本人設備會收到通知提醒。
為了更好提升用戶的安全感,在接到網友反映後,我們也進壹步提高了風控系統的安全等級。目前僅在用戶自己的手機上,才能通過識別近期購買商品以及識別本人好友來找回登錄密碼,通過其他手機設備是無法應用這壹方式找回登錄密碼的。
我們也歡迎用戶繼續對我們的安全策略提出意見和建議,我們會根據大家的反饋進壹步完善和修正。