1月10日,有網(wǎng)友驚訝地發(fā)現(xiàn)支付寶可以更改別人的密碼,甚至不用輸入原密碼,只要有被篡改人的手機(jī)號碼即可,這對廣大支付寶用戶的財產(chǎn)安全無疑造成了不小的威脅。
按照該網(wǎng)友的說法,支付寶的漏洞原理如下:支付寶APP登錄——選擇“忘記密碼”——選擇“手機(jī)不在身邊”——這時支付寶會讓你選擇“淘寶買過的東西”(9張圖片選1個)——“你可能認(rèn)識的人”(9個好友選1個)——如果選擇對就可以重置密碼,且成功率較高。
支付寶隨即作出回應(yīng):“為了更好地提升用戶的安全感,在接到網(wǎng)友反映后,我們進(jìn)一步提高了風(fēng)控系統(tǒng)的安全等級。”
其在官方聲明中稱,這一方式僅在特定情況下才會實現(xiàn)。在通常情況下,用戶找回登錄密碼至少需要輸入手機(jī)短信驗證碼。對于部分暫時無法收到短信的用戶或更換移動設(shè)備的用戶,支付寶的風(fēng)控系統(tǒng)會先進(jìn)行評估(比如賬戶信息完整程度、網(wǎng)絡(luò)環(huán)境等)。在安全系數(shù)較高的情況下,才讓用戶回答一系列安全問題,只有在回答正確后,才能修改登錄密碼。
支付寶還稱,這一策略只能找回登錄密碼,僅通過回答安全問題無法找回支付密碼。且一旦用戶支付寶在其他設(shè)備被登錄,本人設(shè)備會收到通知提醒。
中國商報記者于1月10日上午11時左右登錄支付寶進(jìn)行試驗,找回登陸密碼的方式已變成“刷臉驗證”、“驗證本人銀行卡信息”和“撥打驗證電話”。據(jù)支付寶介紹,目前僅在用戶自己的手機(jī)上,才能通過識別近期購買商品以及識別本人好友來找回登錄密碼,通過其他手機(jī)設(shè)備是無法應(yīng)用這一方式找回登錄密碼的。
支付寶時有漏洞發(fā)生。前不久,支付寶才剛經(jīng)歷了一次AR紅包漏洞。2016年12月,支付寶在新版推出了AR紅包玩法,這是基于高德地圖LBS位置信息和AR場景應(yīng)用的AR紅包。不過,隨后被網(wǎng)友找到漏洞,通過PS技術(shù),獲取紅包。對于存在的漏洞支付寶官方發(fā)布微博表示,已經(jīng)對AR紅包進(jìn)行了產(chǎn)品技術(shù)上的升級,掃描他人屏幕線索圖領(lǐng)取紅包的概率已經(jīng)進(jìn)一步降低到萬分之幾的概率,通過PS搶到紅包的概率也大幅降低。
2016年5月,有人曝光支付寶APP轉(zhuǎn)賬漏洞:通過支付寶轉(zhuǎn)賬,即使輸錯賬號,退款到原有賬戶,轉(zhuǎn)賬處理頁面也會顯示“付款成功”的字樣。這其實和上面的銀行短信提醒漏洞有相似之處。隨后,支付寶彌補(bǔ)了這個漏洞。
2015年10月,一則關(guān)于支付寶實名認(rèn)證出現(xiàn)漏洞的消息鬧得沸沸揚(yáng)揚(yáng),隨后支付寶回應(yīng)稱,如果發(fā)現(xiàn)支付寶實名認(rèn)證賬戶下出現(xiàn)其他關(guān)聯(lián)賬戶,是因為賬戶持有人存在身份證等個人隱私信息泄露的情況,導(dǎo)致被關(guān)聯(lián)認(rèn)證,且子賬戶不能用認(rèn)證身份借款。
2014年2月,淘寶和支付寶認(rèn)證被爆存在安全缺陷,黑客可以簡單利用該漏洞登錄他人淘寶/支付寶賬號進(jìn)行操作,危害等級高。
今后,支付寶用戶應(yīng)當(dāng)如何避免系統(tǒng)漏洞可能帶來的財產(chǎn)風(fēng)險?可以設(shè)置更高難度的安全問題或者調(diào)低花唄額度,當(dāng)發(fā)覺疑有支付寶被盜用跡象,可立即掛失:在“我的”—“設(shè)置”—“安全中心”—“急救包”中選擇“快速掛失”,掛失后“資金不進(jìn)不出,任何人無法登錄”。