惊了!支付宝现重大漏洞:密码可被他人篡改?官方最新回应来了
今天网上的一则关于支付宝账户漏洞的消息,让很多人惊出一身冷汗。
今天凌晨,有网友爆料称支付宝可以更改别人的密码,甚至可以不用别人原密码直接用手机号就可以更改。
漏洞是这样的
打开支付宝登录界面,输入账号后点击忘记密码
输入账号后直接点无法接收短信
这里有很多验证方式,选择你所知道的方式,比如选一个你买过的商品,或者一个认识的朋友:
更改密码,原密码直接忘记,直接更改。
修改完直接登入账户,拥有全部功能,且支持免密支付。
登陆他人支付宝后,虽然部分支付(比如网购付款、商店大额扫码等)需要输入密码或验证指纹,但小额免密、面对面小额付款等仍可能成功出账。
这也就意味着,
1、经常光顾的卖家(知道你买了什么);
2、加了好友的人(知道你买了什么);
3、熟人(知道你认识的大部分人长什么样);
都可以轻易登录你的支付宝账号修改密码!
漏洞爆出后,部分网友测试发觉,重置密码方式并没有包括选择最近购买的物品及好友。重置密码失败。
但也有网友成功了!
这下大家也是方了:
支付宝回应:已提高风控系统的安全等级
▲图片来源:视觉中国
记者就此问题采访了支付宝,支付宝方面回复称:
支付宝
已经接到网友反映,称可以通过识别好友、识别近期购买物品,来找回支付宝登录密码。但这一方式仅在特定情况下才会实现。通常情况下,用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户,我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。
支付宝方面表示,这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。为了更好提升用户的安全感,在接到网友反映后,已于今日上午进一步提高了风控系统的安全等级。
目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。
同时,支付宝强调,这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码,且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。
有互联网从业人员表示这属于P0级漏洞并给出了一些补救方式——
另外,有网友支招给出了一些解决方案,比如突然收到支付宝发来的验证码短信,说明有人尝试登录你的支付宝账号,那么这时候,你需要立刻进入支付宝客户端按如下操作:
点击【我的】→【账户】→【设置】→【安全中心】→【急救包】→【快速挂失】,阻碍任何人登录你的账号,并且阻止资金的转入转出。
信息时报综合整理自每日财经新闻、网易科技、凤凰科技、新浪微博
编辑:Cateran