支付宝曝出重大安全漏洞 账户密码可被轻易篡改！！！

Jack:“突然一长串号码，发来一条短信，自称是支付宝，里面有一个几位数字的验证码。我也不知道这条短信要干嘛，上面就说给你这个验证码，不要把这个验证码给别人。”

　　

　　当时他没有操作支付宝，也没有发现有任何异常，以为是电信诈骗之类的短信，所以没有理会——后来发现是朋友恶作剧，登进了他的支付宝账户。

　　恐怖的是，他并没有把收到的验证码告诉朋友，也从来没有告诉过任何人自己的支付宝密码。

　　Jack:“我没有给别人密码、验证码，然后我朋友就登陆进去了。”

　　后来知道是朋友开玩笑，他松了一口气，也去捉弄了自己的朋友。他说，利用支付宝安全漏洞去盗取熟人的支付宝账号，非常容易。

　　Jack:“很简单。第一步，我知道你的手机号，输入你的手机号；第二步，如果你的手机号是支付宝账号的话，就选‘忘记密码’；第三步，系统让我输入短信验证码，选择‘手机不在身边’；第四步，系统会让你选一个支付宝好友，很容易就选出来了，再选一个你最近购买过的商品，也很容易选出来。然后这个支付宝账户就让我登陆进去了。”

　　

　　天下公司随后联系了支付宝客服，对方告诉我们，支付宝重置密码的规则的确是这样，如果选择“手机验证”，输入验证码就可以重置；如果选择“手机不在身边”，那么系统会生成身份认证问题，比如选择的支付宝好友，比如选择最近购买过的商品。

　　随后，越来越多的用户在网络上曝出自己支付宝账号被盗的消息，天下公司第一时间联系了支付宝方面。蚂蚁金服公众与客户沟通部工作人员彭派告诉天下公司，目前已经对支付宝密码重置功能进行了修改。

　　彭派：“目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。”

　　尽管支付宝反复强调，这次问题的原因并非自身安全系统的bug，只是出于用户方便考虑，保留了“手机不在身边”的选择，所以增加了潜在风险。但业内人士并不这么认为。

　　猎豹移动安全工程师李铁军：“关键在于，他的账户验证系统没有对用户的常用设备做验证。业内通行做法一般都会检测用户现在使用的设备是不是常用设备，在这个事件里这一关被绕过了，那出现了这样的漏洞就不奇怪了。”

　　李铁军表示，正常情况下，一些密级较高的服务，比如银行卡的登录、微信账号的登录，它们都有一个共同特征，就是会对用户最常用的设备做一个验证，你在常用手机上登录的话，非常简单，非常流畅，但如果换一个没接触过的设备来登录，就会发现需要验证的东西会很多。

　　此外，大家对于支付宝安全问题的另外一个争议在于，验证问题的选择也欠缺考虑。用户的支付宝好友和购物记录，并非安全级别很高、隐私性极强的问题，特别是对于用户身边的人来说，比如同学、室友、同事，很容易就能找到正确答案。

　　除了强调互联网公司的责任，对于普通用户来说，保护自己的账户安全、信息安全，我们还能做些什么？李铁军说，要看好自己的手机，因为它是最后一道防线。

　　李铁军：“我们会发现，跟资金管理的应用越来越多的是通过手机来完成，那么手机已经成为用户最关键的设备。不管什么情况，你的手机安全是第一步，它就是像你的大门的钥匙一样，用户应该保护好自己的手机，至少应该要有一个锁屏密码；然后那些关键服务需要有一个第二道密码，越复杂越好。”

摘自央广网

在看到这个消息后立马删了不相关好友:lol   昨天刚把钱转进去:(

等进去，没有支付密码也不行的

昨天看到这新闻了，挺好的。

对啊。进去了没有支付密码白搭

没有支付密码指纹你能付款转账吗？

文章好長，看不懂

chongfutony 发表于 2017-1-11 07:25
等进去，没有支付密码也不行的

我想大家都是有免密支付的，

calvin 发表于 2017-1-11 09:54
没有支付密码指纹你能付款转账吗？

登陆密码支付密码都可以改掉的

chongfutony 发表于 2017-1-11 07:25
等进去，没有支付密码也不行的

登陆密码支付密码是可以一并修改的