風控缺陷?支付寶曝「致命」漏洞,他人能改你的密碼
今天,支付寶被曝光「熟人可以修改登錄密碼」漏洞。
據說「陌生人有1/5的機會登錄你的支付寶,而熟人甚至100%可以登錄你的支付寶」,而且登錄方式並沒有什麼技術含量。針對此事各個社區已經討論炸鍋,畢竟人們對支付寶的依賴非其他普通應用可比。
不過這個問題到底算不算漏洞,還有待討論。即便這個所謂的「漏洞」如此粗糙,卻的確存在危害性——支付寶修改密碼的業務流程還是需要優化。
按圖索驥,小編也測了下
整個過程其實非常簡單,小編只花了幾十秒就按照網上的「教程」全程操作了一遍:你也可以輕鬆重置別人的支付寶密碼:
1. 打開支付寶登錄頁面,嘗試登錄另一小編支付寶賬號,點擊忘記密碼
2. 輸入賬號後,點擊無法接收簡訊
3. 選擇其他驗證方式,找回登錄密碼,比如熟人驗證和購買過的商品
4. 可以重置登錄密碼
應急處理
1. 轉出餘額,解除綁定銀行卡,但是無法阻止花唄和借唄被盜用
2. 支付寶快速掛失
如果突然收到支付寶發來的驗證碼簡訊,提示有人嘗試登錄你的支付寶賬號,大家可以立刻進入支付寶客戶端,點擊【我的】→【設置】→【安全中心】→【急救包】→【快速掛失】。
不過有知乎網友反饋,掛失不一定有效:
你們以為選擇掛失就安全了嗎?
支付寶還有一個功能是通過淘寶登陸,對方無法登陸時,可以通過淘寶綁定賬戶授權登陸,然後一切保護都沒有用了
知乎網友討論
專家看法
安全專家雲舒表示:
支付寶風控策略出了問題,我並不驚訝。我還在阿里的時候,就跟他們在郵件裡面爭辯過——他們一直說有風控策略,我說我這裡有案例,我們已經攻擊成功了,已經有事實了。然而呵呵……
IT界知名人士馮大輝(Fenng):
支付寶安全漏洞,朋友圈不下十個人說自己試了一下就可以,這些都是普通用戶,然後看到一個安全高手也中招了,已經基本可以判斷問題其實很嚴重。
但也有以前老同事說沒事,支付寶有安全防護機制,可那都幾年前的規則了啊…
人不能只靠經驗。
來自網易的消息,支付寶目前正在核查該問題。
據悉,支付寶的設備管理功能已經在2016年10月31日正式下線。據支付寶官方介紹,該功能下線後,支付寶App一次只能登錄一台設備,在當前設備登錄後,其他設備會自動退出登錄。
當前,我們再進行測試,發現已經沒有「熟人驗證」,只有「銀行卡號驗證」和「電話驗證」。
根據網友反饋,支付寶官方已發布修改密碼的通知郵件:
FreeBuf還將對此消息做進一步追蹤和更新,點擊閱讀原文關注該事件的最新動態。
* FreeBuf官方報道,作者:Kuma,未經許可禁止轉載
※巡風掃描系統試用體驗報告
※流氓軟體化身「衛士」 攜帶病毒對抗安全軟體
※蜜罐揭秘真實的Mirai殭屍網路
※干涉美國大選的黑客活動就是普京「下令」發起的 | ODNI最新報告
※美情報機構:俄羅斯涉嫌通過黑客攻擊和散步虛假消息干預美國大選
TAG:FreeBuf |
※支付寶致命漏洞:盜取密碼花你錢,還不理賠!
※挖鼻孔可能致命?我不信
※最常見的舌痛,卻可能是致命的危險信號!
※再不注意6個信號,你的血管就堵了!吃它溶脂溶栓,化解血管致命危機!
※再不注意6個信號,你的血管就堵了!吃它溶脂溶栓,化解血液致命危機
※再也不怕丟車了:會噴射「致命」臭氣的防盜鎖
※吃一顆可致命卻讓人慾罷不能,秘密原來是它……
※挖鼻孔有可能致命?這是真的!
※你還在無視高血壓嗎?它導致的腦溢血可是致命的?
※豆腐乳能延緩女性衰老,但不是人人都能吃,吃錯了致命!
※細思極恐!它能長生不老,它能抗百種致命病毒,它也許無所不能
※便血了,你以為是痔瘡?卻有可能是這種會致命的癌
※新生嬰兒身邊潛伏的致命危險,寶媽不能疏忽,否則後悔莫及!
※不能忽視的貧血 背後隱藏致命威脅
※寶寶嗆奶「豎抱+拍背」呃,大錯特錯!可能會致命,你知道沒有?
※烏龜殼能否抵擋得住巨蟒的致命纏繞?
※痱子粉成「致命殺手」,我還能用什麼給寶寶祛痱?
※挖鼻孔只是不雅的行為嗎?可能還會致命
※致命的五大錯誤!難怪客人再也不找你!