支付宝回应密码漏洞问题:安全等级已升级,用户资金不受影响

一些事  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

 

摘要: 今天在朋友圈的又传疯了一条阿里巴巴的坏消息——支付宝出现了重大的漏洞,熟人在知晓你的支付宝个人信息后,可以通过“找回密码”功能登录并篡改支付宝密码。

支付宝回应密码漏洞问题:安全等级已升级,用户资金不受影响

钛媒体注:今天在朋友圈的又传疯了一条阿里巴巴的坏消息——支付宝出现了重大的漏洞,熟人在知晓你的支付宝个人信息后,可以通过“找回密码”功能登录并篡改支付宝密码。网上曝光的支付宝漏洞原理如下:

在打开支付宝登录界面,输入帐号后点击忘记密码,在重置登录密码中选择无法接受短信,然后通过个人信息验证即可“重置登录密码”。其中个人信息可能是识别好友、识别近期购买物品、真实姓名和身份证号等,比如:

淘宝买过的东西9张图片选1个,或者好友验证9个好友图片选1个,选择正确便会登录成功。这时就可以直接扫二维码付款不用密码。

支付宝回应密码漏洞问题:安全等级已升级,用户资金不受影响

而根据网友的测试,陌生人有五分之一的机会登录你的支付宝,而熟人则有百分之百的机会登录你的支付宝。

在本次漏洞发生不久之后,支付宝通过“蚂蚁神盾局”微博发出了声明:

我们接到网友反映,称可以通过识别好友、识别近期购买物品,来找回支付宝登录密码。

这一方式仅在特定情况下才会实现。通常情况下,用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户,我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。

这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。

为了更好提升用户的安全感,在接到网友反映后,我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。

我们也欢迎用户继续对我们的安全策略提出意见和建议,我们会根据大家的反馈进一步完善和修正。

支付宝官方微博也在第一时间转发了这条微博,并声称,

为了更好提升用户的安全感,在接到网友反映后,我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。

作为中国人最常用的“手机钱包”之一,支付宝的各种行为与表现都会被无限的放大与分析。既有支付宝VR红包这样被捧上天的PR举动,有2016年全年账单一出现便刷爆朋友圈的事件,也就有上线生活圈被骂支付宝转型陌陌行为。

在今年的六月一号,支付宝曾经强迫所有的用户来过儿童节,在每一位用户名称的背后都强制加上了“宝宝”的称谓,这引起了广大网友的抵触:

不告知就改名,还以为账户被黑了。今天能改我的名,明天会不会改我的余额;平时那么多人要认马云当爸爸,现在人家终于称呼你为宝宝了,又有人不乐意了;更恶心的是,这两个字还没法删除,6.1-6.5号部分服务器升级暂时无法修改头像、昵称;……

作为一款涉及到支付、交易的软件,最重要的是什么?

安全。

现在没有出现未经用户许可,便擅自修改用户名称,用户还无法操作的事情。但是这样的漏洞出现,也无疑给支付宝的安全问题,打上了巨大的阴影。

阿里巴巴原本就是一家“业务决定论”的公司,在阿里的内部技术人员的决定也并非是“最高指示”。在知乎上《如何看待支付宝 1 月 10 日被曝光的非密码登录模式下可能出现的账户安全风险?》的话题下,有一个ID为云舒的用户这样讲,

首先因为对安全的理念,我们安全人员看案例,他们业务人员看概率。其次,技术发展方向,他们为了使用方便,太信任机器学习模型,太信任基于风控的控制,而忽视了传统技术层面的强控制。

也许大体能解释这样的事情为何会发生。(钛媒体编辑张霖整理报道)

PS:蚂蚁神盾局微博原版图片

支付宝回应密码漏洞问题:安全等级已升级,用户资金不受影响

本文链接: http://www.yixieshi.com/69273.html (转载请保留)

本文被转载1次

首发媒体 一些事 | 转发媒体

随意打赏

支付宝安全漏洞支付宝支付漏洞支付宝安全问题支付宝转账漏洞支付宝漏洞
提交建议
微信扫一扫,分享给好友吧。