風控缺陷？支付寶曝「致命」漏洞，他人能改你的密碼

今天，支付寶被曝光「熟人可以修改登錄密碼」漏洞。

據說「陌生人有1/5的機會登錄你的支付寶，而熟人甚至100%可以登錄你的支付寶」，而且登錄方式並沒有什麼技術含量。針對此事各個社區已經討論炸鍋，畢竟人們對支付寶的依賴非其他普通應用可比。

不過這個問題到底算不算漏洞，還有待討論。即便這個所謂的「漏洞」如此粗糙，卻的確存在危害性——支付寶修改密碼的業務流程還是需要優化。

按圖索驥，小編也測了下

整個過程其實非常簡單，小編只花了幾十秒就按照網上的「教程」全程操作了一遍：你也可以輕鬆重置別人的支付寶密碼：

1. 打開支付寶登錄頁面，嘗試登錄另一小編支付寶賬號，點擊忘記密碼

2. 輸入賬號後，點擊無法接收簡訊

3. 選擇其他驗證方式，找回登錄密碼，比如熟人驗證和購買過的商品

4. 可以重置登錄密碼

應急處理

1. 轉出餘額，解除綁定銀行卡，但是無法阻止花唄和借唄被盜用

2. 支付寶快速掛失

如果突然收到支付寶發來的驗證碼簡訊，提示有人嘗試登錄你的支付寶賬號，大家可以立刻進入支付寶客戶端，點擊【我的】→【設置】→【安全中心】→【急救包】→【快速掛失】。

不過有知乎網友反饋，掛失不一定有效：

你們以為選擇掛失就安全了嗎？

支付寶還有一個功能是通過淘寶登陸，對方無法登陸時，可以通過淘寶綁定賬戶授權登陸，然後一切保護都沒有用了

知乎網友討論

專家看法

安全專家雲舒表示：

支付寶風控策略出了問題，我並不驚訝。我還在阿里的時候，就跟他們在郵件裡面爭辯過——他們一直說有風控策略，我說我這裡有案例，我們已經攻擊成功了，已經有事實了。然而呵呵……

IT界知名人士馮大輝（Fenng）：

支付寶安全漏洞，朋友圈不下十個人說自己試了一下就可以，這些都是普通用戶，然後看到一個安全高手也中招了，已經基本可以判斷問題其實很嚴重。

但也有以前老同事說沒事，支付寶有安全防護機制，可那都幾年前的規則了啊…

人不能只靠經驗。

來自網易的消息，支付寶目前正在核查該問題。

據悉，支付寶的設備管理功能已經在2016年10月31日正式下線。據支付寶官方介紹，該功能下線後，支付寶App一次只能登錄一台設備，在當前設備登錄後，其他設備會自動退出登錄。

當前，我們再進行測試，發現已經沒有「熟人驗證」，只有「銀行卡號驗證」和「電話驗證」。

根據網友反饋，支付寶官方已發布修改密碼的通知郵件：

FreeBuf還將對此消息做進一步追蹤和更新，點擊閱讀原文關注該事件的最新動態。

* FreeBuf官方報道，作者：Kuma，未經許可禁止轉載