淘宝智能热水袋联盟

紧急!支付宝密码可被他人篡改,别人登录你的支付宝只要三步!

金融大咖会2018-05-30 11:41:55

点击上方"金融大咖会"100万有钱人都关注!

导 语:

陌生人有机会登录你的支付宝,熟人有100%的机会登录你的支付宝!


一觉醒来,支付宝又出事儿了!有网友爆料“熟人可重置支付宝密码”。


“支付宝存在一个新漏洞,陌生人有机会登录你的支付宝,熟人有100%的机会登录你的支付宝。”


网友们的吐槽:


@小互和他的朋友们:不好好做安全的支付产品,一天想着搞社交


@默想你的样子:意思是加了卖家为好友就。。。


@不是青菜的钦:是真的,刚刚跟同事试了一下,就差她帮我改密码了


@马克马克PS:难怪昨天我莫名其妙收到修改密码的的短信,看来中招了


@JMoeight:我收到过好多次验证码信息


@圆OOOOOO:公司同事实验了,是真的在我完全不知道的情况下,支付宝被修改了密码啊、在别的手机上登陆了。


@权倾:支付宝玩社交了就感觉不太安全了


这是真的吗???




亲测:三步轻易登陆好友支付宝


南方都市报(nddaily)今早10时许进行了测试。在征得朋友(测试时不在同一网络环境中)同意的情况下,尝试用朋友手机登陆支付宝APP,第一步选择“忘记密码”。



支付宝自动给朋友发去了验证信息,如网友所述漏洞,第二步选择“无法接收短信”。




然后出现了以下三种找回密码的方式,并无法通过选择最近购买的物品及好友来重置密码。重置密码失败。也就是说,并不是每一次都会进入到熟人验证的界面。




而此时朋友则收到了支付宝发去的验证码提示。




今早不少朋友的测试结果都相同。



所以网友所爆的漏洞是谣言?并不是。


今早11时许,南都记者的支付宝账号,被同在办公室的同事用网友所爆方法成功登陆……


在输入手机号并选择“忘记密码”后,找回方式出现“回答与您有关的问题”。




选择后会出现两道选择题,第一题,选择买过的东西。



南都君登陆自己手机号找回密码示意图,同事尝试步骤与此相同。


第二题,选择一个可能认识的人。



南都君登陆自己手机号找回密码示意图,同事尝试步骤与此相同。


两个问题都答对,就可以成功重置登录密码了。




微博上一些大V也表示亲测成功,南都君一位在互联网企业工作的朋友也同样表示,她的同事昨夜今晨亲测,确实成功到了可修改密码那一步。两人经常在公司用同一WiFi,但她并没有在朋友的手机上登陆过自己的支付宝账号。




快科技、新浪科技等媒体也成功使用网友所爆漏洞登陆。微博上不少网友也纷纷表示确实可以……



熟悉网络支付的朋友表示,登陆他人支付宝后,虽然部分支付(比如网购付款、商店大额扫码等)需要输入密码或验证指纹,但小额免密、面对面小额付款等仍可能成功出账。


而且更最恐怖的是,若判定为熟人作案 ,支付宝不予理赔——有一位网友的支付宝被盗刷,但是支付宝却用疑似“熟人作案”一口回绝,不给赔付!



支付宝回应:上诉情况仅在特定情况下实现,目前已提高用户安全等级


针对上述情况,蚂蚁金服方面对南都记者回应称,目前已经进行改进,提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。



有互联网从业人员表示,这属于P0级漏洞并给出了一些补救方式——




而有朋友进一步爆料称,除了支付宝找回密码漏洞外,好友通过你的手机找回淘宝APP密码更易如反掌……


如果亲朋好友或陌生人拿到了你的手机(同一设备),打开淘宝APP,选择“找回密码”,不需要短信或问题验证,即可随时重置密码……



疑似阿里员工回应:10天前就在内网反馈过了,但支付宝的人表示情况没那么糟!


针对以上帖子爆料的问题,在帖子下方有疑似阿里内部员工进行回复称:早在10天前就在内网反馈过了,后来支付宝的人解释了一下情况没大家想的那么糟。




这个问题我10几天前就在内网反馈过了,后来支付宝的人解释了一下情况没大家想的那么糟,据说是有环境判断的,什么同一mac地址上登录的支付宝账号数量之类的(然而我家路由器没设wifi密码啊WTF),另外还有支付密码,所以即使盗了最多刷走点小额,以及搞个朋友圈行骗之类的。


关于“小额”:我的=>设置=>支付设置=>免密支付=>小额免密支付。可以调额度,也可以关掉。

“紧急”解决方案


1、保管好自己的手机


可以看到,很多互联网公司的安全防控都与操作设备相关,如果你的手机借给别人或弃用、丢失,请随时注意账户安全;


2、开启短信验证并随时留意


在前面的操作中,南都君多次提示收到短信,想说明的是他人进行的这些操作,对用户来说并不是全盲的,只要收到异常短信(收到验证码、提示在其他地点登陆),赶紧修改密码并提升账户安全;


3、账户安全险自行考虑,如果发现异常登录、异常交易,第一时间打开支付宝急救包。





找回密码的多种体验可以理解,但网络诈骗、盗刷频现的今日,让网络支付环境更私密、更安全才能赢得更多用户。希望经过今早这次“全民黑客”事件,各大网络支付、交易平台都能进一步审视自家一系列的安全防控措施,让用户放心。


声明:本文仅代表个人观点,如有问题请联系微信

Note/本文由金融大咖会编辑整理发布,来源于网络,转载请注明。

-- 推荐大家关注2016年最火的公众号--

好了,今天贵客就与大家分享到这儿,如果朋友们有任何想说的,一定到【留言区】和大家分享。我们明天不见不散!

 

朋友们,支持原创,赠人玫瑰,手留余香!


添加贵客私人微信82156

宏愿纵未了,奋斗总不太晚

好文章,请关注分享!(如果你从朋友圈看到文章),因为未来的生活要靠自己。不能总是靠朋友:)

阅读原文加金融美女微信278695进群  点赞~

Copyright © 淘宝智能热水袋联盟@2017