支付宝回应“熟人可重置登录密码”漏洞,但是这个回应依然有问题

alipay_logo_latest

今天早上网曝支付宝漏洞显示, 熟人有 100%机会登录你的支付宝 。漏洞原理是这样的:登录手机账号——忘记密码——手机不在身边——淘宝买过的东西 9 张图片选 1 个——好友验证 9 个好友图片选 1 个——登录成功。这时就可以直接扫二维码付款不用密码。

关于此事,支付宝官方回应刚刚出来。简单的说就是:

  • 支付密码(6 位数字)和登录密码不同 ,仅仅登录无法立刻执行支付操作;
  • 收到不是本人操作的短信通知提醒应立即挂失
  • 目前支付宝声称, 仅在用户自己的手机 上才能够通过识别商品和好友找回登录密码。

但是,我自己亲自试验发现:

  1. 完全陌生人的账号 找回确实不能识别商品和好友;
  2. 但是已经在你好友名单中的人,还是可以用这个办法找回。 换句话说,你亲友的手机可以用这个办法登录你的账号,依然不能避免熟人作案。
  3. 有部分网友自述经历称, 账户安全险可能不理赔熟人作案

针对熟人作案问题,支付宝为我提供了一个过去的案例:一位名为“星小白”的网友发文称《支付宝账户只有 200 余额仍被盗刷万元》,结果盗刷“星小白”账户的“黑客”正是其相识十年、准备结婚的男友林浩。 林浩因盗窃罪,被判处拘役六个月,并处罚金 2000 元

就此问题我还在继续接触支付宝,并等待他们的后续回复。

官方回应全文:

我们接到网友反映,称可以通过识别好友、识别近期购买物品,来找回支付宝登录密码。

这一方式仅在特定情况下才会实现。通常情况下,用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户,我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。

这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。

为了更好提升用户的安全感,在接到网友反映后,我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。

我们也欢迎用户继续对我们的安全策略提出意见和建议,我们会根据大家的反馈进一步完善和修正。


初创公司报道

2017 年的互联网科技领域,有很多关键标签,比如人工智能和共享经济。尤其是后者,太多的创业者绞尽脑汁向“共享”靠拢,在 共享单车 出现以后冒出了 共享充电宝 、共享雨伞、共享衣橱等等。