风控缺陷?支付宝曝“致命”漏洞,他人能改你的密码

今天,支付宝被曝光“熟人可以修改登录密码”漏洞。

据说“陌生人有1/5的机会登录你的支付宝,而熟人甚至100%可以登录你的支付宝”,而且登录方式并没有什么技术含量。针对此事各个社区已经讨论炸锅,毕竟人们对支付宝的依赖非其他普通应用可比。

不过这个问题到底算不算漏洞,还有待讨论。即便这个所谓的“漏洞”如此粗糙,却的确存在危害性——支付宝修改密码的业务流程还是需要优化。

按图索骥,小编也测了下

整个过程其实非常简单,小编只花了几十秒就按照网上的“教程”全程操作了一遍:你也可以轻松重置别人的支付宝密码:

1. 打开支付宝登录页面,尝试登录另一小编支付宝账号,点击忘记密码 2. 输入账号后,点击无法接收短信 3. 选择其他验证方式,找回登录密码,比如熟人验证和购买过的商品 4. 可以重置登录密码

应急处理

1. 转出余额,解除绑定银行卡,但是无法阻止花呗和借呗被盗用

2. 支付宝快速挂失

如果突然收到支付宝发来的验证码短信,提示有人尝试登录你的支付宝账号,大家可以立刻进入支付宝客户端,点击【我的】→【设置】→【安全中心】→【急救包】→【快速挂失】。

不过有知乎网友反馈,挂失不一定有效:

你们以为选择挂失就安全了吗? 支付宝还有一个功能是通过淘宝登陆,对方无法登陆时,可以通过淘宝绑定账户授权登陆,然后一切保护都没有用了

知乎网友讨论

专家看法

安全专家云舒表示:

支付宝风控策略出了问题,我并不惊讶。我还在阿里的时候,就跟他们在邮件里面争辩过——他们一直说有风控策略,我说我这里有案例,我们已经攻击成功了,已经有事实了。然而呵呵……

IT界知名人士冯大辉(Fenng):

支付宝安全漏洞,朋友圈不下十个人说自己试了一下就可以,这些都是普通用户,然后看到一个安全高手也中招了,已经基本可以判断问题其实很严重。 但也有以前老同事说没事,支付宝有安全防护机制,可那都几年前的规则了啊… 人不能只靠经验。

来自网易的消息,支付宝目前正在核查该问题。

据悉,支付宝的设备管理功能已经在2016年10月31日正式下线。据支付宝官方介绍,该功能下线后,支付宝App一次只能登录一台设备,在当前设备登录后,其他设备会自动退出登录。

当前,我们再进行测试,发现已经没有“熟人验证”,只有“银行卡号验证”和“电话验证”。

根据网友反馈,支付宝官方已发布修改密码的通知邮件:

FreeBuf还将对此消息做进一步追踪和更新,点击阅读原文关注该事件的最新动态。

* FreeBuf官方报道,作者:Kuma,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-01-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏区块链

T-Pot的搭建与使用

快,关注这个公众号,一起涨姿势~ ? 本文作者:hell0_w 感谢hell0_w来稿,本文稿费20元。持续小广告:各位大佬有安全方面新的创作都可以向小编砸过来...

4976
来自专栏FreeBuf

从安全漏洞看印度国家银行APP为何“技术落后10年”

2007年的时候,我在印度最大的国有银行中的一家注册了一个账号,这个国家的银行(政府或者民营)普遍所使用的技术与当前水平相比至少落后了10年。 2015年末,我...

2187
来自专栏FreeBuf

RSA2018 | 通过iOS Trustjacking漏洞远程渗透iPhone

赛门铁克研究人员发现了一个iPhone与Mac工作站和笔记本电脑配对的漏洞。他们表示,攻击者可以利用这个被称为Trustjacking的漏洞,在没有信息情况下接...

1763
来自专栏魏艾斯博客www.vpsss.net

Vultr 注册购买图文教程

2K3
来自专栏嵌入式程序猿

谁动了我的下载固件

之前的TWR-K64板子openSDA被同事刷成了jlink固件,估计这哥们喜欢用Jlink呵呵,如果想刷回PEmicro固件,我们该如何做呢,首先先了解下,O...

3018
来自专栏黑白安全

查询使用CDN的网站的真实IP

1:先查一下分站的IP,许多状况是主站运用了 CDN 而分站没有运用。 相似这么www.xxx.com 运用了CDN ,那么 mail.code521.com ...

2592
来自专栏FreeBuf

技术讨论 | 一次尚未完成的薅羊毛行动

一、背景 XX眼镜,免费领取日抛5日装隐形眼镜活动,发现接收到的手机验证码为4位数字,看到4位验证码时就觉得有搞头。 顺便祝我伦生日快乐,等你下课~ 二、技术手...

2289
来自专栏FreeBuf

金融行业平台常见安全漏洞与防御

? 一、前言 互联网金融是这两年来在金融界的新兴名词,也是互联网行业一个重要的分支,但互联网金融不是互联网和金融业的简单结合,而是在实现安全、移动等网络技术水...

3136
来自专栏FreeBuf

跨平台后门Mokes现已加入OS X豪华午餐

近期,卡巴斯基实验室的安全研究人员发现了一种恶意软件,这种恶意软件可以在目前主流的几款操作系统平台上运行,包括Windows、Linux和Mac OSX。 根据...

1959
来自专栏安恒信息

[科普]保护WiFi无线网络安全

全球有超过四分之一的互联网用户在家使用WiFi上网,不过其中许多人并不清楚该如何保护家庭网络以及这样做的重要性。在这方面,最妥当的想法就是将您家中的WiFi网络...

3074

扫码关注云+社区

领取腾讯云代金券