熟人能改你的支付寶密碼,支付寶驚現漏洞。今日,有網友爆料稱,支付寶發現致命新漏洞:陌生人有1/5的機會登入你的支付寶,而熟人100%可以登入你的支付寶,甚至可以不用原密碼直接用手機號就可以更改。
按網友的說法,原理是這樣的:登入手機賬號——忘記密碼——手機不在身邊——淘寶買過的東西9張圖片選1個——好友驗證9個好友圖片選1個——登入成功。這時就可以直接掃二維碼付款不用密碼。
經過測試,確實可行。
具體步驟如下:
1、開啟支付寶登入介面,輸入帳號後點擊忘記密碼;
2、輸入帳號後直接點無法接收簡訊;
3、這裡有很多驗證方式,選擇你所知道的方式,熟人驗證,你知道的朋友資訊;
4、更改密碼,原密碼直接忘記,直接更改。
修改完直接登入賬戶,擁有全部功能,且支援免密支付。
訊息曝光後立刻刷了屏,畢竟這關乎到自己的財產安全。密碼這麼容易就被改了,細思極恐。
有網友給出暫時的解決辦法是:如果突然收到支付寶發來的驗證碼簡訊,提示有人嘗試登入你的支付寶賬號,大家可以立刻進入支付寶客戶端,點選【我的】→【設定】→【安全中心】→【急救包】→【快速掛失】。
對此,支付寶官方剛剛給出回應稱,這一方式僅在特定情況下才會實現。且一旦使用者支付寶在其他裝置被登入,本人裝置會收到通知提醒。
此外,支付寶表示,在今天上午接到網友反映後,我們也進一步提高了風控系統的安全等級。目前僅在使用者自己的手機上,才能透過識別近期購買商品以及識別本人好友來找回登入密碼,透過其他手機裝置是無法應用這一方式找回登入密碼的。
以下為回應全文:
我們接到網友反映,稱可以透過識別好友、識別近期購買物品,來找回支付寶登入密碼。
這一方式僅在特定情況下才會實現。通常情況下,使用者找回登入密碼至少需要輸入手機簡訊驗證碼。對於部分暫時無法收到簡訊的使用者或者更換移動裝置的使用者,我們的風控系統會先進行評估(比如賬戶資訊完整程度、網路環境等因素)。在安全係數較高的情況下,才讓使用者回答一系列安全問題,只有在回答正確後,才能修改登入密碼。
這一策略只能找回登入密碼,僅透過回答安全問題並無法找回支付密碼。且一旦使用者支付寶在其他裝置被登入,本人裝置會收到通知提醒。
為了更好提升使用者的安全感,在接到網友反映後,我們也進一步提高了風控系統的安全等級。目前僅在使用者自己的手機上,才能透過識別近期購買商品以及識別本人好友來找回登入密碼,透過其他手機裝置是無法應用這一方式找回登入密碼的。
我們也歡迎使用者繼續對我們的安全策略提出意見和建議,我們會根據大家的反饋進一步完善和修正。