风控缺陷？支付宝曝“致命”漏洞，他人能改你的密码

今天，支付宝被曝光“熟人可以修改登录密码”漏洞。

据说“陌生人有1/5的机会登录你的支付宝，而熟人甚至100%可以登录你的支付宝”，而且登录方式并没有什么技术含量。针对此事各个社区已经讨论炸锅，毕竟人们对支付宝的依赖非其他普通应用可比。

不过这个问题到底算不算漏洞，还有待讨论。即便这个所谓的“漏洞”如此粗糙，却的确存在危害性——支付宝修改密码的业务流程还是需要优化。

按图索骥，小编也测了下

整个过程其实非常简单，小编只花了几十秒就按照网上的“教程”全程操作了一遍：你也可以轻松重置别人的支付宝密码：

1. 打开支付宝登录页面，尝试登录另一小编支付宝账号，点击忘记密码 2. 输入账号后，点击无法接收短信 3. 选择其他验证方式，找回登录密码，比如熟人验证和购买过的商品 4. 可以重置登录密码

应急处理

1. 转出余额，解除绑定银行卡，但是无法阻止花呗和借呗被盗用

2. 支付宝快速挂失

如果突然收到支付宝发来的验证码短信，提示有人尝试登录你的支付宝账号，大家可以立刻进入支付宝客户端，点击【我的】→【设置】→【安全中心】→【急救包】→【快速挂失】。

不过有知乎网友反馈，挂失不一定有效：

你们以为选择挂失就安全了吗？ 支付宝还有一个功能是通过淘宝登陆，对方无法登陆时，可以通过淘宝绑定账户授权登陆，然后一切保护都没有用了

知乎网友讨论

专家看法

安全专家云舒表示：

支付宝风控策略出了问题，我并不惊讶。我还在阿里的时候，就跟他们在邮件里面争辩过——他们一直说有风控策略，我说我这里有案例，我们已经攻击成功了，已经有事实了。然而呵呵……

IT界知名人士冯大辉（Fenng）：

支付宝安全漏洞，朋友圈不下十个人说自己试了一下就可以，这些都是普通用户，然后看到一个安全高手也中招了，已经基本可以判断问题其实很严重。 但也有以前老同事说没事，支付宝有安全防护机制，可那都几年前的规则了啊… 人不能只靠经验。

来自网易的消息，支付宝目前正在核查该问题。

据悉，支付宝的设备管理功能已经在2016年10月31日正式下线。据支付宝官方介绍，该功能下线后，支付宝App一次只能登录一台设备，在当前设备登录后，其他设备会自动退出登录。

当前，我们再进行测试，发现已经没有“熟人验证”，只有“银行卡号验证”和“电话验证”。

根据网友反馈，支付宝官方已发布修改密码的通知邮件：

FreeBuf还将对此消息做进一步追踪和更新，点击阅读原文关注该事件的最新动态。

* FreeBuf官方报道，作者：Kuma，未经许可禁止转载