广告

搜索热点: G20峰会 宜人贷 互联网金融 消费金融

当前位置: 首页 > 资讯 > 互联网金融 > 详情

支付宝熟人操作可重置支付宝密码 蚂蚁金服回应已处理

2017-01-11 16:19:15 | 发布者: 小孔123 | 原作者: 陈颖 |来自: 南方都市报

摘要:1月10日,关于“熟人可重置支付宝密码”的消息引爆网络,熟人通过三步验证即可轻松登录你的支付宝。针对上述问题,蚂蚁金服方...

 
        今早(10日),关于“熟人可重置支付宝密码”的消息引爆网络。
 
        有网友爆料称“支付宝存在一个新漏洞,陌生人有机会登录你的支付宝,熟人有100%的机会登录你的支付宝。
 
 
        网络支付已渗透进大多数人的生活当中,网络支付账号的安全让所有人极为重视。这个漏洞是真的吗?
 
        南都君今早10时许进行了测试。在征得朋友(测试时不在同一网络环境中)同意的情况下,南都君尝试用朋友手机登陆支付宝APP,第一步选择“忘记密码”。
 
 
        支付宝自动给朋友发去了验证信息,如网友所述漏洞,第二步选择“无法接收短信”。
 
 
        然后出现了以下三种找回密码的方式,并无法通过选择最近购买的物品及好友来重置密码。重置密码失败。
 
 
        而此时朋友则收到了支付宝发去的验证码提示。
 
 
        今早不少朋友的测试结果都相同。
 
 
        所以网友所爆的漏洞是谣言?并不是。
 
        今早11时许,南都记者的支付宝账号,被同在办公室的同事用网友所爆方法成功登陆……
 
        在输入手机号并选择“忘记密码”后,找回方式出现“回答与您有关的问题”。
 
 
        选择后会出现两道选择题,第一题,选择买过的东西。
 
 
        第二题,选择一个可能认识的人。
 
 
        南都君登陆自己手机号找回密码示意图,同事尝试步骤与此相同。
 
        两个问题都答对,就可以成功重置登录密码了。
 
 
        南都君登陆自己手机号找回密码示意图,同事尝试步骤与此相同。
 
        南都记者表示,同事刚好知道她最近买了手机壳、选择“认识的人”则刚好是另一位同事,因此顺利答对两个问题,成功到达重置密码一步。
 
        微博上一些大V也表示亲测成功,南都君一位在互联网企业工作的朋友也同样表示,她的同事昨夜今晨亲测,确实成功到了可修改密码那一步。两人经常在公司用同一WiFi,但她并没有在朋友的手机上登陆过自己的支付宝账号。
 
 
        亲测成功用手机号登陆朋友支付宝账号
 
        快科技、新浪科技等媒体也成功使用网友所爆漏洞登陆。微博上不少网友也纷纷表示确实可以……
 
 
 
        熟悉网络支付的朋友对南都君表示,登陆他人支付宝后,虽然部分支付(比如网购付款、商店大额扫码等)需要输入密码或验证指纹,但小额免密、面对面小额付款等仍可能成功出账。
 
        蚂蚁金服回应:
 
        已改进,提高了风控系统安全等级
 
        今日(10日)上午,针对上述情况,蚂蚁金服方面对南都记者回应称,目前已经进行改进。提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。
回应全文——
 
        这一方式仅在特定情况下才会实现。通常情况下,用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户,我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。
        
        这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。
 
        为了更好提升用户的安全感,在接到网友反映后,我们也进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。
 
        我们也欢迎用户继续对我们的安全策略提出意见和建议,我们会根据大家的反馈进一步完善和修正。
 
        有互联网从业人员表示这属于P0级漏洞并给出了一些补救方式——
 
 
        而有朋友进一步向南都君爆料称,除了支付宝找回密码漏洞外,好友通过你的手机找回淘宝APP密码更易如反掌……
 
        如果亲朋好友或陌生人拿到了你的手机(同一设备),打开淘宝APP,选择“找回密码”,不需要短信或问题验证,即可随时重置密码……
 
 
        最后南都君来小结一下发生了什么……
 
        1、他人通过“购物记录、认识的人”找回密码的漏洞确实曾存在;
 
        2、支付宝表示已对安全防控进行升级,目前仅可在自己常用设备使用“购物记录、认识的人”找回密码,其他设备修改密码登陆后会收到短信提示;
 
        3、其他人可以在你的手机上任意修改你的淘宝APP密码……
 
        我们要注意和做什么……
 
        1、保管好自己的手机;可以看到,很多互联网公司的安全防控都与操作设备相关,如果你的手机借给别人或弃用、丢失,请随时注意账户安全;
 
        2、开启短信验证并随时留意;在前面的操作中,南都君多次提示收到短信,想说明的是他人进行的这些操作,对用户来说并不是全盲的,只要收到异常短信(收到验证码、提示在其他地点登陆),赶紧修改密码并提升账户安全;
 
        3、账户安全险自行考虑,如果发现异常登录、异常交易,第一时间打开支付宝急救包——
 
 
        找回密码的多种体验可以理解,但网络诈骗、盗刷频现的今日,让网络支付环境更私密、更安全才能赢得更多用户。希望经过今早这次“全民黑客”事件,各大网络支付、交易平台都能进一步审视自家一系列的安全防控措施,让用户放心。

  
(网友评论仅供其表达个人看法)

0条) 评论

相关阅读

关注网贷天下
关注互金花絮
  • 客服热线:0571-28999315
  • 业务QQ:2556787326