安全事件丨一心想做社交的支付宝,这下出了个“致命漏洞”

    今天国内安全界最大的漏洞莫过于:支付宝熟人可以修改密码事件了。悬镜安全实验室的同事也根据曝光的帖子试了一下,真的可以修改密码。

  看到网上已经有了很多成熟的文章,特地拿来和大家分享。

  文章来源:freebuf,原文标题:“【更新支付宝回应】风控缺陷?支付宝曝“致命”漏洞,他人能改你的密码”,作者:kuma,如需转载,请标注转载来源:FreeBuf.COM

  下文有部分的添加删除,如涉及版权问题,可以联系小编进行删除。

  今天,网上曝光支付宝“熟人可以修改登录密码”的“漏洞”。据说“陌生人有1/5的机会登录你的支付宝,而熟人甚至100%可以登录你的支付宝”,而且登录方式并没有什么技术含量。

  针对此事各个社区已经讨论炸锅,毕竟人们对支付宝的依赖非其他普通应用可比。

  不过这个问题到底算不算漏洞,还有待讨论。即便这个所谓的“漏洞”如此粗糙,却的确存在危害性——支付宝修改密码的业务流程还是需要优化。

  按图索骥,小编也测了下

  重置支付宝登录密码的整个过程其实非常简单,小编只花了几十秒就按照网上的“教程”全程操作了一遍:

打开支付宝App登录页面,尝试登录另一小编支付宝账号,点击忘记密码

输入账号后,点击无法接收短信

选择其他验证方式,找回登录密码,比如熟人验证和购买过的商品 可以重置登录密码

  点击“忘记密码”

  选择可能认识的人

  选择购买过的商品

  以上步骤操作成功,即可重置登录密码

  备注:支付宝的登录密码和支付密码是独立的,但问题在于,里面涉及到金钱的功能——“免密支付”,我进入到帐号,你之前只要开通了免密支付,我就可以把钱刷出来了,可以去消费了。

应急处理

转出余额

解除绑定银行卡

关闭小额免密支付:设置-支付设置-免密支付

花呗额度调到最低的500

购买支付宝内置的2元的账户安全险

登录支付宝PC网页版,设置安全问题

支付宝快速挂失(如果突然收到支付宝发来的验证码短信,提示有人尝试登录你的支付宝账号,大家可以立刻进入支付宝客户端,点击【我的】→【设置】→【安全中心】→【急救包】→【快速挂失】。

  不过有知乎网友反馈,挂失不一定有效:

你们以为选择挂失就安全了吗?

支付宝还有一个功能是通过淘宝登陆,对方无法登陆时,可以通过淘宝绑定账户授权登陆,然后一切保护都没有用了

  知乎网友讨论

 

专家看法安全专家云舒表示:

支付宝风控策略出了问题,我并不惊讶。我还在阿里的时候,就跟他们在邮件里面争辩过——他们一直说有风控策略,我说我这里有案例,我们已经攻击成功了,已经有事实了。然而呵呵……

IT界知名人士冯大辉(Fenng):

支付宝安全漏洞,朋友圈不下十个人说自己试了一下就可以,这些都是普通用户,然后看到一个安全高手也中招了,已经基本可以判断问题其实很严重。

但也有以前老同事说没事,支付宝有安全防护机制,可那都几年前的规则了啊…

人不能只靠经验。

【Updating…】

  [12:50] 支付宝官方(蚂蚁神盾局)已对此事件作出回应:

  小编忍不住八卦了一下,看看下面都有什么样的评论,果然骂声一片,但支付宝的小编回复真是萌萌哒。

  虽然这样,小编还是在事件发生第一时间,赶紧把陌生人全部删除。说到这里,小编也有一个疑问:这次,阿里又要开除几个程序员了?

  但也有的用户在知乎上说:这个不是程序员的问题,而是产品经理的问题。

 

  截图来源知乎-养猪的乐乐

  具体是谁的问题已经不重要了,重要的支付宝专心做支付还是一心想做社交。如果再发生类似的事件,小编绝对狠心卸载支付宝。

  接下来如何让大家对支付宝重新获取信任是非常重要的问题了。

  置顶悬镜安全实验室公众号,给你最新,最有料的资讯,安全技术干货。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值