首頁 > 購物 > 正文

支付寶現(xiàn)重大漏洞帳號密碼被改了怎么辦？

2020-09-15 15:31:26來源：雷鋒網(wǎng)

編輯在上班路上忽然收到了一條支付寶驗證碼的短信，察覺到異常后立刻打開了支付寶客戶端，結(jié)果被嚇出了冷汗：他發(fā)現(xiàn)自己的支付寶賬號竟正被

編輯在上班路上忽然收到了一條支付寶驗證碼的短信，察覺到異常后立刻打開了支付寶客戶端，結(jié)果被嚇出了冷汗：

他發(fā)現(xiàn)自己的支付寶賬號竟正被別人登錄，隨即他收到一條朋友發(fā)來的微信消息：

我剛才用網(wǎng)上流傳的“支付寶致命漏洞”來重置你的登錄密碼，竟然成功了!你還不知道嗎?朋友圈都傳開啦!

支付寶漏洞?雷鋒網(wǎng)編輯隨即打開朋友圈，發(fā)現(xiàn)已經(jīng)有很多網(wǎng)絡(luò)安全圈內(nèi)的朋友都轉(zhuǎn)了一條名為“支付寶驚現(xiàn)致命漏洞，快解綁你的銀行卡”的報道。

報道中稱，有網(wǎng)友發(fā)現(xiàn)支付寶在登錄方式上存在致命的邏輯漏洞，導(dǎo)致熟人之間可以相互登錄對方的支付寶賬號，流程大致如下：

進入「忘記密碼」界面后，選擇「無法接受短信」，這時候會出現(xiàn)兩個相關(guān)問題：一、在9張圖片當中找出你認識的人 ;二、選擇與您有關(guān)的地址。

只要成功答對這兩道問題，就可以重置該支付寶賬號的密碼，并且在登錄后可以正常使用免支付密碼的快捷支付功能，直接使用對方支付寶中的資金。

很快，隨著該消息在朋友圈內(nèi)的傳播，越來越多的人表示自己收到支付寶登錄驗證短信，以及相關(guān)的賬號異常提醒。許多人開始用身邊朋友的支付寶賬號來嘗試復(fù)現(xiàn)該漏洞。

有人表示，周圍已經(jīng)有不下十人成功登錄了身邊朋友的支付寶賬號，甚至有網(wǎng)絡(luò)安全高手也中招了，由此他判斷此次問題可能非常嚴重。

真實成功率如何?

雷鋒網(wǎng)(公眾號：雷鋒網(wǎng))編輯在對周圍朋友的支付寶賬號進行了大約7~8 次嘗試后，成功重置了自己女朋友的支付寶密碼，這是在雙方十分了解，知道對方認識的人、購物記錄和家庭住址等情況的前提下實現(xiàn)的。雖然結(jié)果確實令人驚訝，但成功率并沒有網(wǎng)上說的那么夸張——“陌生人有五分之一的機會登錄你支付寶，熟人有百分之百的機會登錄你的支付寶”。

在測試中我們發(fā)現(xiàn)，兩個測試題會隨機出現(xiàn)“你認識的人”、“和你相關(guān)的地址”、“你曾經(jīng)買過的東西”等不同的問題，只要答錯一兩次，該種方式就會被屏蔽，只允許使用其他方式找回密碼，并且其他的方式也會在嘗試失敗后逐漸被屏蔽，這似乎觸發(fā)了支付寶的某種安全機制。

【驗證失敗后驗證方式會發(fā)生變化】

在多次試驗后，雷鋒網(wǎng)編輯發(fā)現(xiàn)自己無論使用誰的支付寶賬號，都無法再使用之前那種通過相關(guān)信息來重置密碼的方式。

至上午10點左右，周圍不少在測試該漏洞的朋友也表示自己測試失敗，只有在自己的常用設(shè)備下才能觸發(fā)相關(guān)消息找回。有安全從業(yè)者表示：“支付寶響應(yīng)很快，據(jù)說目前已經(jīng)對風(fēng)控進行了調(diào)整。”

支付寶官方回應(yīng)

至上午11點50分左右，支付寶官方微博發(fā)出聲明，對此次事件進行了公告，全文如下：

雖然目前螞蟻金服方面尚未給出具體的風(fēng)控手段解析，但據(jù)雷鋒網(wǎng)了解，支付寶風(fēng)控和阿里聚安全應(yīng)用了同一套技術(shù)基礎(chǔ)，據(jù)此，可以判斷支付寶也應(yīng)用了以下風(fēng)控手段：

風(fēng)險信息庫

對于支付寶的所有的驗證登錄數(shù)據(jù)，都會被收錄到風(fēng)險信息庫中。每一個風(fēng)險用戶和背后的手機、郵箱、IP地址、身份證號都會被記錄在案。

設(shè)備指紋

對于每一臺登錄支付寶的設(shè)備，風(fēng)控措施都會為了給設(shè)備定義一個獨特的指紋，系統(tǒng)會收集多維度的信息，例如：

— App的基本信息。其中包括 App 的名稱、版本等，也包括集成 SDK 的版本信息。

—設(shè)備信息。包括設(shè)備的名稱、型號、系統(tǒng)、IMEI號、MAC地址。(iOS 設(shè)備只能獲取部分信息)