支付宝回应密码漏洞问题:安全等级已升级,用户资金不受影响
钛媒体注:今天在朋友圈的又传疯了一条阿里巴巴的坏消息——支付宝出现了重大的漏洞,熟人在知晓你的支付宝个人信息后,可以通过“找回密码”功能登录并篡改支付宝密码。网上曝光的支付宝漏洞原理如下:
在打开支付宝登录界面,输入帐号后点击忘记密码,在重置登录密码中选择无法接受短信,然后通过个人信息验证即可“重置登录密码”。其中个人信息可能是识别好友、识别近期购买物品、真实姓名和身份证号等,比如:
淘宝买过的东西9张图片选1个,或者好友验证9个好友图片选1个,选择正确便会登录成功。这时就可以直接扫二维码付款不用密码。
而根据网友的测试,陌生人有五分之一的机会登录你的支付宝,而熟人则有百分之百的机会登录你的支付宝。
在本次漏洞发生不久之后,支付宝通过“蚂蚁神盾局”微博发出了声明:
我们接到网友反映,称可以通过识别好友、识别近期购买物品,来找回支付宝登录密码。
这一方式仅在特定情况下才会实现。通常情况下,用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户,我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。
这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。
为了更好提升用户的安全感,在接到网友反映后,我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。
我们也欢迎用户继续对我们的安全策略提出意见和建议,我们会根据大家的反馈进一步完善和修正。
支付宝官方微博也在第一时间转发了这条微博,并声称,
为了更好提升用户的安全感,在接到网友反映后,我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。
作为中国人最常用的“手机钱包”之一,支付宝的各种行为与表现都会被无限的放大与分析。既有支付宝VR红包这样被捧上天的PR举动,有2016年全年账单一出现便刷爆朋友圈的事件,也就有上线生活圈被骂支付宝转型陌陌行为。
在今年的六月一号,支付宝曾经强迫所有的用户来过儿童节,在每一位用户名称的背后都强制加上了“宝宝”的称谓,这引起了广大网友的抵触:
不告知就改名,还以为账户被黑了。今天能改我的名,明天会不会改我的余额;平时那么多人要认马云当爸爸,现在人家终于称呼你为宝宝了,又有人不乐意了;更恶心的是,这两个字还没法删除,6.1-6.5号部分服务器升级暂时无法修改头像、昵称;……
作为一款涉及到支付、交易的软件,最重要的是什么?
安全。
现在没有出现未经用户许可,便擅自修改用户名称,用户还无法操作的事情。但是这样的漏洞出现,也无疑给支付宝的安全问题,打上了巨大的阴影。
阿里巴巴原本就是一家“业务决定论”的公司,在阿里的内部技术人员的决定也并非是“最高指示”。在知乎上《如何看待支付宝 1 月 10 日被曝光的非密码登录模式下可能出现的账户安全风险?》的话题下,有一个ID为云舒的用户这样讲,
首先因为对安全的理念,我们安全人员看案例,他们业务人员看概率。其次,技术发展方向,他们为了使用方便,太信任机器学习模型,太信任基于风控的控制,而忽视了传统技术层面的强控制。
也许大体能解释这样的事情为何会发生。(钛媒体编辑张霖整理报道)
PS:蚂蚁神盾局微博原版图片
更多精彩内容,关注钛媒体微信号(ID:taimeiti),或者下载钛媒体App