Quantcast

分享到微信朋友圈

点击图标下载本文截图到手机
即可分享到朋友圈。如何使用?

Facebook Twitter RSS

支付宝现重大漏洞!!熟人可篡改你的密码,还免秘支付

2017-01-11 中潭国际 中潭国际

今天(1月10日)凌晨,

朋友圈流传支付宝存在严重安全漏洞,

有网友爆料称,

可以用支付宝更改他人密码,

只需手机号—点击“忘记密码”等简单操作即可实现。

并且可以免秘支付。


在前不久,

支付宝的圈子功能被“裸照门”闹得满城风雨。

AR实景红包也被曝出存在漏洞。

这次再次曝出新的漏洞,

很多网友表示担忧。


网上流传的方法是,在打开支付宝登录界面,输入帐号后点击忘记密码,在重置登录密码中选择无法接受短信,然后通过个人信息验证即可“重置登录密码”。其中个人信息可能是识别好友、识别近期购买物品、真实姓名和身份证号等。


之前网友曝出的支付宝他人登陆的流程为↓↓

1、打开支付宝登录界面,输入朋友的支付宝帐号后,点击忘记密码;


2、提示“重置登录密码”,点击“下一步”,然后选择“无法接收短信”


3、这里有很多验证方式,选择你所知道的方式,比如熟人验证、比如最近购买过的商品、有关的地址等(对于熟悉的人,这些信息很容易选中);


4、重置新的密码。


5、修改完后即可直接登入朋友的账户,拥有了他支付宝的全部功能,且支持免密支付。


陌生人有1/5的机会登陆

而熟人甚至100%可以


曝料网友称,通过支付宝该漏洞,陌生人有1/5的机会登录他人的支付宝,而熟人甚至100%可以登录他人支付宝。


中潭君已经用该方法,绕过密码登录,进入了两个支付宝帐号。居然真的可以,但是必须是非常熟悉对方。

另外,中潭君还发现了另外两种修改密码方式:

(一)


在点击无法接受短信后,页面跳转显示“选择一个你可能认识的人”,

 

选择后页面跳转显示“选择一个你购买过的商品”,

    

最后就跳转至重置密码,


重新设置密码完成后就进入支付宝账户页面。


(二)


就是你知道对方的身份证号也可以重置密码!


支付宝:选项也已经被删除


10日上午,支付宝工作人员回复称,他们在今日一早已经获悉了网友曝出的信息,网友所称的存在安全漏洞的登陆他人支付宝账户的选项也已经被删除。该工作人员称支付宝安全相关业务的工作人员正在对此进行跟进排查,还需等待才能给出外界以更为详细的回复和解释。


随后,当中潭君用此方法进行登陆时,支付宝“忘记密码”的登陆流程中已经没有通过朋友信息、熟人验证的选项。但另有网友透露说,用户在别人手机上登陆过自己的支付宝账户后,再次在该手机上登陆时,仍然可找到通过朋友或者熟人信息登陆的选择,这表明该漏洞仍未被支付宝方面彻底“清除”。


今天中午12时许,支付宝官方微博回应:



建议:暂时先关闭支付宝的免密支付功能


支付宝在线上支付中需要支付密码,但在当面扫码付款中没有防护手段。此外个人支付宝账号中完整显示了个人的真实信息,不法分子也可通过求好友转账等方式进行诈骗。


对你来说,建议暂时先关闭支付宝的免密支付功能,或者在支付宝中挂失自己的帐号。


赶紧把这消息发给你的朋友,

切勿随意泄露自己的相关信息!

【内容摘自东南快报、扬子晚报等,中潭国际综合编辑

Views
Loading