今日有網(wǎng)友發(fā)現(xiàn)了支付寶的一個(gè)致命漏洞�����,他人熟知你的支付寶個(gè)人信息后可以通過“找回密碼”功能登錄并篡改支付寶密碼�����。支付寶方面回應(yīng)稱����,這一方式僅在特定情況下才會(huì)實(shí)現(xiàn),目前已進(jìn)一步提高了風(fēng)控系統(tǒng)的安全等級����。
網(wǎng)上流傳的方法是�����,在打開支付寶登錄界面�,輸入帳號后點(diǎn)擊忘記密碼����,在重置登錄密碼中選擇無法接受短信����,然后通過個(gè)人信息驗(yàn)證即可“重置登錄密碼”。其中個(gè)人信息可能是識別好友����、識別近期購買物品、真實(shí)姓名和身份證號等�����。有網(wǎng)友已經(jīng)用該方法�����,繞過密碼登錄,進(jìn)入了兩個(gè)支付寶帳號�����。
支付寶在線上支付中需要支付密碼�,但在當(dāng)面掃碼付款中沒有防護(hù)手段。此外個(gè)人支付寶賬號中完整顯示了個(gè)人的真實(shí)信息����,不法分子也可通過求好友轉(zhuǎn)賬等方式進(jìn)行詐騙。
以下是支付寶方面的回應(yīng):
我們接到網(wǎng)友反映����,稱可以通過識別好友、識別近期購買物品�,來找回支付寶登錄密碼。
這一方式僅在特定情況下才會(huì)實(shí)現(xiàn)�����。通常情況下�,用戶找回登錄密碼至少需要輸入手機(jī)短信驗(yàn)證碼。對于部分暫時(shí)無法收到短信的用戶或者更換移動(dòng)設(shè)備的用戶����,我們的風(fēng)控系統(tǒng)會(huì)先進(jìn)行評估(比如賬戶信息完整程度�����、網(wǎng)絡(luò)環(huán)境等因素)�����。在安全系數(shù)較高的情況下����,才讓用戶回答一系列安全問題����,只有在回答正確后����,才能修改登錄密碼。
截圖
這一策略只能找回登錄密碼�,僅通過回答安全問題并無法找回支付密碼。且一旦用戶支付寶在其他設(shè)備被登錄�,本人設(shè)備會(huì)收到通知提醒。
為了更好提升用戶的安全感�����,在接到網(wǎng)友反映后,我們也進(jìn)一步提高了風(fēng)控系統(tǒng)的安全等級�����。目前僅在用戶自己的手機(jī)上����,才能通過識別近期購買商品以及識別本人好友來找回登錄密碼,通過其他手機(jī)設(shè)備是無法應(yīng)用這一方式找回登錄密碼的�����。
我們也歡迎用戶繼續(xù)對我們的安全策略提出意見和建議����,我們會(huì)根據(jù)大家的反饋進(jìn)一步完善和修正。
