支付寶爆保安漏洞侵熟人戶口毋須密碼
1 :
GS(14)@2017-01-12 08:03:12■用戶要登錄別人支付寶戶口,首先要答中對方曾買過的商品。
阿里巴巴旗下支付寶出現重大安全漏洞!內地網民爆料,用家在毋須得知別人支付寶密碼的情況下,只要輸入對方手機號碼,透過識別好友和買過的商品,驗證後便可登錄他人的支付寶,尤其熟人可藉此控制別人戶口。支付寶安全隱患曝光後引發網民恐慌,支付寶昨提升風險控制措施補鑊。
■用戶只要在「可能認識的人」問題選中答案,就能完成登錄。
昨日凌晨,有網民在內地問答網站爆料,指支付寶存在致命漏洞,漏洞的原理首先登錄手機賬號,點擊「密碼登錄」後選擇「忘記密碼」的選項,確認需要重置登錄密碼的戶口,點擊「下一步」,隨後選擇「手機不在身邊」,支付寶會提供其他的驗證方式,包括「淘寶買過的東西9張圖片選1個」、「好友驗證9個好友圖片選1個」,只要選出正確答案,就能成功登錄。從以上過程中可以發現,若為熟人操作,戶口被登錄的成功率極高。網民形容,陌生人有20%機會登錄你的支付寶,熟人甚至100%可以登錄你的支付寶。新華網引述內地記者試用有關方法,繞過密碼登錄進入兩個支付寶賬號。新浪科技也報道,已有不少網民親自測試,並成功登錄同事、朋友的支付寶賬號。消息指,用戶完成登錄後,即可使用支付寶的全部功能,可進行免密碼付款,也可隨意修改賬戶密碼,甚至修改關聯的淘寶登錄密碼。
支付寶HK沒此漏洞
支付寶昨日承認網上披露的修改密碼方式,但表示有關方法只能找回登錄密碼,卻無法找回支付密碼,意味盜號者就算登錄他人戶口,也無法付款購物。同時,一旦用戶支付寶在其他設備被登錄,本人設備會收到通知提醒。支付寶表示,為提升用戶的安全感,目前只能在用戶自己的手機,才能通過識別近期購買商品以及識別好友找回登錄密碼,通過其他手機已無法使用此方法。事件引發網民熱烈討論,有人歸咎支付寶新推出的社交功能,令原本服務缺乏更新:「我只希望你好好做支付軟件,別搞社交好嗎?」亦有網民認為:「安全性這麼低,無語!」此外,去年10月才推出的香港版本「支付寶HK」,據稱並沒這項功能。新浪科技
來源:
http://hk.apple.nextmedia.com/international/art/20170111/19893115