如果你的支付寶在你不知情的情況被別人更改了密碼,還能免密碼支付?請(qǐng)問你的心情如何?
這個(gè)問題從昨晚(1月10日)開始�����,橫亙?cè)诿恳粋(gè)支付寶用戶的心頭����。據(jù)悉,從昨晚開始,有網(wǎng)友反映����,只需要幾個(gè)步驟�����,你就可以操控別人的支付寶了�����。這簡直堪比科幻大片:
1.打開支付寶登錄界面���,輸入帳號(hào)后點(diǎn)擊忘記密碼
2.輸入帳號(hào)后直接點(diǎn)無法接收短信
3.這里有很多驗(yàn)證方式�����,選擇你所知道的方式��,熟人驗(yàn)證��,你知道的朋友信息
4.更改密碼�����,原密碼直接忘記��,直接更改
5.修改完直接登入賬戶�,擁有全部功能,且支持免密支付
這個(gè)問題迅速發(fā)酵��,隨后虎嗅多位同事在第一時(shí)間進(jìn)行了測試��,發(fā)現(xiàn)目前這個(gè)問題已經(jīng)修復(fù)����,無法按照上述步驟篡改別人的密碼,幫別人花對(duì)方支付寶的錢����。
在撬動(dòng)了2016年百度各種問題的第一陣地——知乎上,有網(wǎng)友迅速建立了一個(gè)討論:如何看待支付寶1月10日被曝光的非密碼登錄模式下可能出現(xiàn)的賬戶安全風(fēng)險(xiǎn)?
在下面的討論中���,一位自稱是阿里員工的網(wǎng)友“winter”說:
這個(gè)問題我10幾天前就在內(nèi)網(wǎng)反饋過了���,后來支付寶的人解釋了一下情況沒大家想的那么糟,據(jù)說是有環(huán)境判斷的���,/*支付寶同學(xué)要求不要說具體安全策略����,這段刪掉,總之是有環(huán)境判斷的*/���,另外還有支付密碼�,所以即使盜了最多刷走點(diǎn)小額���,以及搞個(gè)朋友圈行騙之類的。
支付寶同學(xué)認(rèn)為這不是bug��,據(jù)說是為了平衡體驗(yàn)和安全性(黑人問號(hào)臉)�����,然而支付寶存幾十萬的我�,表示最好是讓我生成RSA我自己持有私鑰支付寶服務(wù)器拿公鑰,這樣體驗(yàn)最好����。
而另一位阿里前員工,顯示是“資深網(wǎng)絡(luò)安全研究人員�����,默安科技CTO”的網(wǎng)友“云舒”也跟帖稱:
支付寶這個(gè),確實(shí)有問題���,不過上午已經(jīng)修復(fù)了����。而且類似的事情���,以前就出現(xiàn)過,我還在阿里的時(shí)候就跟一個(gè)叫jason的SB VP吵過架��,我說是漏洞他們team說不是����,有郵件為證——當(dāng)然我現(xiàn)在看不到阿里的郵件了。
我堅(jiān)信�,類似的風(fēng)控問題還會(huì)繼續(xù)出�����。首先因?yàn)閷?duì)安全的理念���,我們安全人員看案例�,他們業(yè)務(wù)人員看概率。其次���,技術(shù)發(fā)展方向��,他們?yōu)榱耸褂梅奖��,太信任機(jī)器學(xué)習(xí)模型�,太信任基于風(fēng)控的控制���,而忽視了傳統(tǒng)技術(shù)層面的強(qiáng)控制。
虎嗅就此時(shí)聯(lián)系支付寶的工作人員����,對(duì)方表示目前正在解決,隨后他們給了我一份回應(yīng):
我們接到網(wǎng)友反映���,稱可以通過識(shí)別好友�、識(shí)別近期購買物品�,來找回支付寶登錄密碼。
這一方式僅在特定情況下才會(huì)實(shí)現(xiàn)�。通常情況下���,用戶找回登錄密碼至少需要輸入手機(jī)短信驗(yàn)證碼����。對(duì)于部分暫時(shí)無法收到短信的用戶或者更換移動(dòng)設(shè)備的用戶�����,我們的風(fēng)控系統(tǒng)會(huì)先進(jìn)行評(píng)估(比如賬戶信息完整程度����、網(wǎng)絡(luò)環(huán)境等因素)����。在安全系數(shù)較高的情況下��,才讓用戶回答一系列安全問題�����,只有在回答正確后,才能修改登錄密碼�����。
這一策略只能找回登錄密碼����,僅通過回答安全問題并無法找回支付密碼��。且一旦用戶支付寶在其他設(shè)備被登錄���,本人設(shè)備會(huì)收到通知提醒�。
為了更好提升用戶的安全感���,在接到網(wǎng)友反映后���,我們于今日上午進(jìn)一步提高了風(fēng)控系統(tǒng)的安全等級(jí)��。目前僅在用戶自己的手機(jī)上�,才能通過識(shí)別近期購買商品以及識(shí)別本人好友來找回登錄密碼�,通過其他手機(jī)設(shè)備是無法應(yīng)用這一方式找回登錄密碼的�����。
我們也歡迎用戶繼續(xù)對(duì)我們的安全策略提出意見和建議���,我們會(huì)根據(jù)大家的反饋進(jìn)一步完善和修正。
但目前最好的辦法是����,要么你把支付寶里的余額寶里的錢先轉(zhuǎn)到銀行卡里,然后將銀行卡跟支付寶綁定���。同時(shí),建議你修改支付寶密碼����。
文章內(nèi)容僅供閱讀�����,不構(gòu)成投資建議��,請(qǐng)謹(jǐn)慎對(duì)待�����。投資者據(jù)此操作��,風(fēng)險(xiǎn)自擔(dān)�����。
京公網(wǎng)安備 11010502041587號(hào)