gwasd18000

支付宝曝重大安全漏洞 回应称已提高风控安全等级        2017年01月10日 10:24         
来源：凤凰科技                                 作者：马晓宁                        
                      用微信扫描二维码
分享至好友和朋友圈






1777人参与                   152评论      




今日有网友发现了支付宝的一个致命漏洞，他人熟知你的支付宝个人信息后可以通过“找回密码”功能登录并篡改支付宝密码。



                             
配图
凤凰科技讯（作者/马晓宁）今日有网友发现了支付宝的一个致命漏洞，他人熟知你的支付宝个人信息后可以通过“找回密码”功能登录并篡改支付宝密码。支付宝方面回应称，这一方式仅在特定情况下才会实现，目前已进一步提高了风控系统的安全等级。

截图
网上流传的方法是，在打开支付宝登录界面，输入帐号后点击忘记密码，在重置登录密码中选择无法接受短信，然后通过个人信息验证即可“重置登录密码”。其中个人信息可能是识别好友、识别近期购买物品、真实姓名和身份证号等。
凤凰科技已经用该方法，绕过密码登录，进入了两个支付宝帐号。
支付宝在线上支付中需要支付密码，但在当面扫码付款中没有防护手段。此外个人支付宝账号中完整显示了个人的真实信息，不法分子也可通过求好友转账等方式进行诈骗。

以下是支付宝方面的回应：
我们接到网友反映，称可以通过识别好友、识别近期购买物品，来找回支付宝登录密码。
这一方式仅在特定情况下才会实现。通常情况下，用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户，我们的风控系统会先进行评估（比如账户信息完整程度、网络环境等因素）。在安全系数较高的情况下，才让用户回答一系列安全问题，只有在回答正确后，才能修改登录密码。
这一策略只能找回登录密码，仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。
为了更好提升用户的安全感，在接到网友反映后，我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。
我们也欢迎用户继续对我们的安全策略提出意见和建议，我们会根据大家的反馈进一步完善和修正

beenli

只能在自已的手机上登陆，这是常识，如果真有这样的漏洞，也不会出现在网上了。说支付宝不安全，我不信。因为人都不傻。不安全，估计马上破产。

hanyuhuying

官方马上修复了漏洞，但还有不足，就是原来在别人手机上过的支付宝还有可能被别人找回密码，懂得一听就明白，不懂得还是不懂

欲战天

第一，支付宝有赔付保险，而这个保险是一年2元，如果这个都不买而导致无法获赔，那么就算你太省了，第二，支付宝有异地反常操作会很快锁定的，第三，就算可以登录进去，除非你作死不设置支付密码或把支付密码设置成登录密码，否则很难发生大额损失。还有解绑定手机的更作死、

乔大

搞个鸡巴社交，好好做个支付不行

isistarcy

任何便利都会带来风险，像支付宝这样无数人在用的，既要方便快捷，还要万无一失，这两者间天然就是矛盾的。对这样的应有，还是自己要权衡，不能接受任何损失和风险的，那还是老老实实别用了。

redfox5298258

任何东西都会有漏洞，但就是要做及时修补，应对及时，才好。

l121904

任何事物都不是完美的，但是一个金融类软件去做社交感觉就是作大死，漏洞可以从社交方面泄露太多了

woobush

支付宝今年太激进，又是圈子又是密码，都是大问题