淘宝智能热水袋联盟

网曝支付宝惊人新漏洞:熟人100%可登录你的支付宝,并篡改你密码…

下沙圈2018-04-15 12:41:54

转载来自:齐鲁晚报(ID:qiluwanbao002)

2016年的支付宝账单的出炉,

让我们更加清楚认识到,

它已经覆盖了我们衣食住行方方面面。

很多人都关联了银行卡,有的还有借呗资格,

所以安全性方面由不得半点马虎。




不过,最近微博上有网友爆料:

支付宝存在一个新漏洞,

陌生人有1/5的机会登录你的支付宝,

而熟人甚至100%可以登录你的支付宝。




按网友的说法,原理是这样的:


登录手机账号——忘记密码——手机不在身边——淘宝买过的东西9张图片选1个——好友验证9个好友图片选1个——登录成功。这时就可以直接扫二维码付款不用密码。



有网友测试了整个过程

随后小圈圈进行了多次测试,

以下测试基于在本人手机上

作的找回密码测试



第一次按照网友所提示的界面步骤进行找回密码,出现了两个图片的问题,第一个是从九宫格里找出你认识的人,第二个是让晚报菌找出最近买过的东西。

也有人问题2会弹出常用wifi或者地址的提问

或者

如果是身边的熟人,这两个问题确实能够回答上来。可怕的是,点击下一步,即可直!接!更!改


不过当晚报菌进行第二次,第三次测试找回密码的时候,都没有再出现这两个问题。而是出现了另一个界面...


其中有“身份证”修改,以及“银行卡信息”修改(帮领导买过机票啦,帮同事转过账啦…),我当着他们的面,修改了他们的支付宝密码(领导现在在我背后看着我敲下这些文字,不知道写完这篇稿子之后我会不会失业)



目前也无法得知,是因为支付宝检测支付环境后改变了找回方式,还是这种找回方式只能使用一次。


经过多次多人反复测试,发现能不能改这件事,是有几率的。有的号开始就没有,有的号试一次就没了。





当我再用这个方法改了亲人的密码后,瞬间失去了对支付宝的信任。


太可怕了!


关键是朋友们开始玩起了这个危险的游戏!!!!



登录支付宝后可以直接用付款码付款支付宝账单也可以删除支付密码可以用完整银行卡号修改。支付宝的支付路径还包括银行卡、花呗、付款码、余额宝、免密支付等。



有网友也分享了自己的测试经历:


仔细想想也是件隐患性挺大的事情


网友说:


@孙竞:可能因为我不在支付宝里社交,购物也不频繁,淘宝和支付宝帐号是分开的,或者阿里紧急修复了这个 bug,找回密码的方式只有「回答安全保护问题」、「验证本人银行卡信息」和「拨打验证电话」三种,并没有「熟人验证」。


@惊云:支付宝最大的问题,就是把财产和社交绑定在一起。这本来就是最为矛盾的两个功能,支付宝却硬是不死心,各种改版,各种加新功能,就为了把社交作进来,这不,终于又出了BUG。


@ROCKZHENG111:支付宝确实不应该加好友,万一哪天出个功能,查看好友消费记录,后果自己想。


@Mr坏牙:亲测可行。同事去开会了,我把她支付宝密码改了,我觉得她要是丢钱我特么就说不清楚了,好后悔。


@Jessica梦娇:支付宝会校验支付环境的,换了地区,换了手机都会需要手机验证码校验的,除非你手机丢了,别人知道你的开机密码,这样真没招,不过话说回来,正常人丢了手机第一时间就是冻结账户吧


@Gaxing丶Lau:改就改吧,无所谓了,顶多几千块的事,看清个熟人,值了


@五十风_:这件事告诉我们,不要乱加支付宝好友,更不要乱在支付宝里晒购物单



不过也有知乎网友表示:

支付宝方面已经紧急修复了问题,

拿掉了验证中的「亲情验证」。

非自己手机(曾用手机)已经不会出现「亲情验证」了。



如果突然收到支付宝发来的验证码短信,提示有人尝试登录你的支付宝账号,大家可以立刻进入支付宝客户端,点击【我的】→【设置】→【安全中心】→【急救包】→【快速挂失】。

如果你的手机此前收到了异常的验证码,或是已经出现了异常登录,就赶快修改密码,防止自己的信息外露吧!






目前支付宝方面做了最新回复


来源:齐鲁晚报(ID:qiluwanbao002)

Copyright © 淘宝智能热水袋联盟@2017