支付宝漏洞导致密码可被篡改?天啦噜我的亿万身家啊!

2017-01-10 18:04·爱迪声

今日(2017年1月10日)凌晨,有知乎网友爆料,支付宝存在一个致命漏洞,陌生人有1/5的机会登录你的支付宝,而熟人甚至100%可以登录你的支付宝。

支付宝漏洞?小编随即打开朋友圈,发现已经有很多网络安全圈内的朋友都转了一条名为“支付宝惊现致命漏洞,快解绑你的银行卡”的报道。

报道中称,有网友发现支付宝在登录方式上存在致命的逻辑漏洞,导致熟人之间可以相互登录对方的支付宝账号。

很快,随着该消息在朋友圈内的传播,越来越多的人表示自己收到支付宝登录验证短信,以及相关的账号异常提醒,许多人开始用身边朋友的支付宝账号来尝试复现该漏洞。

有人表示,周围已经有不下十人成功登录了身边朋友的支付宝账号,甚至有网络安全高手也中招了,由此他判断此次问题可能非常严重。

一、修改好友密码的全过程

第一步:忘记密码

只要你添加过一个支付宝好友,你就会知道他的帐号,这个时候,填入这个帐号,选择“忘记密码”,你就可以进行到下一步了。

第二步:无法接收短信

当你选择了“忘记密码”并选择“下一步”之后,账号拥有者的手机会收到关于“校验码”的信息。但是,这个时候,操作者是可以选择“无法接受短信”的。

虽然无论如何系统都会触发一条短信,但如果帐号拥有者没有及时看到短信,他是不会警觉,也完全不会知道自己的密码马上就会被修改的。

第三步:找回密码

在操作端选择“无法接收短信”之后,系统会让你做一些“选择题”,选一个您“购买过的商品”和选一个您可能“认识的人”,这个时候,如果是你和帐号拥有者是熟人,TA平时的购买喜好和好友,你多试几次,应该还是很好选的。

而就算你对帐号拥有者不那么熟悉,理论上你也有一定概率可以顺利通过这个验证。

当然,如果你真的被卡在这个环节,也仍然还有出路。你可以点击上图“换个方式找回密码”。

这个时候,系统会给出一些选项,例如刷脸认证呀,回答问题呀等等。

但是,这里有个很可笑的事情:虽然刷脸验证页面上提示“要本人亲自刷”,但如果这个是根据本人和身份证照片的相似度来判断的.......就实在是太可怕了......

第四步:重置登录密码

这个时候,顺利通过验证的你,已经可以重置对方的支付宝登录密码了。帐号拥有者这个时候会收到支付宝的消息提醒,但为时已晚......只能默默抱着手机哭了......

作为一款向来主打“安全、可靠”,以及保存了大量用户交易信息的应用,这样的漏洞,绝对可以算得上是“重大事故”级别的了。

二、支付宝的回应

临近中午,支付宝官方也给出了正式回应,全文如下——

在官方声明中,支付宝也提到已在第一时间增加了常用设备检查。

>在忘记密码的情况下,在账号拥有者自己的设备上,只需要填写身份证号,即可成功登录。

>在其他登陆设备上,需要知道帐号拥有者的身份证号和银行卡信息,或是回答一些安全保护问题,或者是拿到了帐号拥有者的电话,也可以登录进去,并不涉及修改密码的部分。

这倒不失为一个成本最低且足够及时,能够一定程度上解决问题的回应。但被支付宝这么一折腾,还是感觉很不安全啊。

也不得不感叹一下,这一年,大家都说百度公关难,但其实支付宝公关也着实不容易啊!无论如何,我们先向他们致以诚挚的慰问吧。

从产品的角度来看,支付宝的找回密码逻辑,其实是属于通过“交叉验证”来判断用户身份的过程,这种交叉验证的模式,已经被很多产品采用了,最典型的是微信和淘宝。交叉验证的功能是好功能,但场景不同,适用性也是有很大不一样的。

交叉验证,有几个关键点,是这个功能能否成功的关键点。

1. 是否有可识别的点;

2. 可识别的东西,是否具有私密性;

3. 可识别的东西,对用户来说,是否有辨识度。

支付宝作为一个支付软件,和金钱这种超级隐私的东西挂钩,却老是搞一些危险的幺蛾子。之前六一时候的“改宝宝后缀”事件,就曾引发全民吐槽,虽然属于支付宝想给用户惊喜,但这次属于产品密码逻辑的问题,就有点不可原谅了。

支付宝想要占据社交平台这个入口,拼了老命要搞社交,这个可以理解,但支付才是支付宝一直走下去的保障,而支付安全,则是支付宝最后的底线。一切的幺蛾子,都必须是建立在用户安全的基础上的。

网友也评价:之前一直不太使用微信支付,是总在心里觉得社交软件做支付不安全,万万没想到支付软件做社交才是大杀器啊......

以及,在今天,我们也在微博和朋友圈看到了有人因为支付宝今天的漏洞开始大量删除好友的情况存在。

这里倒是不由得替支付宝感叹一声:市场和运营们吭哧吭哧干了一两年走社交路线,集五福的活动推了那么多,AR红包和年度账单搞得红红火火,好不容易把好友加上去了,现在大家又要开始删好友了,颇有点一夜就要回到解放前的感觉,支付宝的朋友们,你们还好吗?

想了解BP代投递的创业小伙伴

可以点击阅读原文查看哦~

本期BP代投递 投递嘉宾

华映资本 副总裁:俞耿亮

【爱迪实验室】

发起于2011年,由胡冬先生创立的种子加速器平台;

为立志改变10亿人生活的科技创业者;

提供极具启发性的产业创新环境。

-联合办公|两千个工位@上海@深圳@南宁

-天使基金|PreAngel 艾瑞资本 天奇阿米巴 MFund

—加速领域|泛娱乐 企业服务 大健康 一带一路

想要参加BP代投递吗?

请将BP发至邮箱

bp@aid.com.cn

举报
评论 0
    热门: