注册

支付宝最新安全漏洞,熟人可以轻松修改你的支付宝登录密码


来源:好奇心日报

支付宝最新安全漏洞,熟人可以轻松修改你的支付宝登录密码

你每天都在用的支付宝最近也不太安全。

日前,支付宝被曝出存在一个新的安全漏洞。如果有人了解你的支付宝好友信息和网购记录就可以随意修改支付宝登录密码。

我们按照曝光的方法测试了一下,如果对方熟悉你的个人信息,盗取你的支付宝账号的确非常容易。

首先要知道对方的支付宝账号,然后在登录页面选择“找回登录密码”,它就会进入到下一步重置密码环节。

这一步支付宝默认的方式是给绑定手机发短信,点击“换个方式找回密码”后,它会先后跳出两个页面让你在 9 张图里选择 1 张图,它是该账号添加过的支付宝好友和淘宝上买过的商品。

只要你知道几个朋友的好友名,而且刚好知道你朋友最近喜欢买什么,这两步都选对的话,你就能任意修改对方的支付宝登录密码了。

登录对方账号后能做什么?如果他开通了免密支付功能,你还能小额盗刷对方支付宝上的钱。

目前,要盗取支付宝登录密码并不一定要是熟人,只要对方知道你的支付宝好友信息,近期在淘宝上的消费记录就可以了。

此外,更危险的一点是,支付宝登录密码被盗后,支付密码也有被修改的风险。

支付宝上修改支付密码时大部分都需要短信验证。但如果对方碰巧没有设置过 6 位数字密码,短信验证码这一步还有可能被绕过。

对此,支付宝的回应是:这是一个“在特定情况下”才会出现的漏洞,现在产品团队已经将“识别好友”和“近期商品”的验证限定在了本人手机上才能进行。

“为了更好提升用户的安全感,在接到网友反映后,我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。”

如果想完全避免风险,现在也是有一些事情可以做的的,例如可以关闭免密支付功能,降低支付宝盗刷的风险。

此外,当有人尝试通过“忘记密码”的方式登录你账号时,重置步骤默认首先跳转到给绑定手机发送验证码的页面。所以无故收到一条来自支付宝的验证码短信等时候,你需要及时查看账号情况。

必要时,还可以到支付宝的安全中心冻结支付宝账号,或者解绑信用卡。

在社交网络上开始讨论支付宝这个安全漏洞的时候,许多人的反应是先去删除支付宝上的好友。

试图让用户将社交关系搬到支付宝来,是过去两年的时间里支付宝每一次改版的目标。类似微信朋友圈的“生活圈”已经占了支付宝应用首页一半以上的屏幕。此外,支付宝还推出了类似偷菜、农场类的游戏“蚂蚁森林”,鼓励用户经常打开支付宝,收取自己和好友因为用支付宝消费获得的碳能量,去年 11 月的“生活圈”事件则是最极端的一次尝试。

像今天曝出的安全漏洞在一定程度上也是支付宝社交尝试的副作用之一。这个拥有数亿用户,定位全民的支付、生活服务一天没想清楚怎么做社交,类似的负面新闻就不会是最后一次。

题图 Pixabay

  • 好文
  • 钦佩
  • 喜欢
  • 泪奔
  • 可爱
  • 思考

频道推荐

凤凰网公益基金救助直达

凤凰科技官方微信

凤凰新闻 天天有料
分享到: