当前位置:安全客 >> 资讯详情

【漏洞预警】网传支付宝被曝光「熟人可以篡改密码」致命漏洞(13:49更新)

2017-01-10 13:18:32 阅读:92995次 收藏 来源: 知乎

http://p2.qhimg.com/t016576eb73b422e603.png


今晨,安全客接到网友反馈,其账号被朋友登陆,并展示了银行卡及免密码支付功能可以正常使用(非常用设备、IP环境、地理位置),真相到底如何?我们在知乎上找到了相关问题的技术细节,仅供参考

10:38 测试结果无法复现,据说支付宝已经第一时间进行了修复。

12:15 陆续还有人测试成功,博主本人账号也被人非常用设备重置成功。。。(确认没有非常用设备、IP检测,请勿太过相信支付的风控体系)


http://p6.qhimg.com/t01e803663a8d37fc64.jpg


支付宝官方对此事的回复是这样的:然而笔者随机测试的几个朋友,非常用设备、网络环境下,可以直接出密码保护问题等方式。这TM就尴尬了。


http://p7.qhimg.com/t012ad1500d5fc4cb2b.jpg

而支付宝早在2015年7月也曾经出现过类似的事情,当时官方也出了对应的申明来证明风控体系很复杂、很安全:

某圈内大佬对此的评价是:支付宝逻辑就是:有钱人=好人,熟人=好人。

相关微博地址:http://weibo.com/1891502860/CqmLZC2No

http://p6.qhimg.com/t0128ae9349e72d03d9.png

来自知乎网友的测试方法:

1.打开支付宝登录界面,输入帐号后点击忘记密码

2.输入帐号后直接点无法接收短信

3.这里有很多验证方式,选择你所知道的方式,熟人验证,你知道的朋友信息

4.更改密码,原密码直接忘记,直接更改

修改完直接登入账户,拥有全部功能,且支持免密支付


安全客建议:


  1. 如果出现密码被重置情况,应第一时间重置密码

  2. 避免使用互联网上出现过的密码,以免被撞库攻击

  3. 避免在互联网上:微博、朋友圈晒自己的购物记录,社交合影等信息

  4. 取消银行卡绑定似乎有点过激,真因为这个漏洞被盗建议联系支付宝索赔

  5. 担心账户被支付的同学可以关闭免密码支付,并强制使用短信、指纹验证等二次认证方式

  6. 关闭小额免密码支付功能

  7. 修复密码保护问题,建议使用答非所问方式设置,避免熟人破解

  8. 如果曾经丢过或卖过使用过的手机,需要留存好相关交易记录、报案材料等,避免被定义为“熟人作案”无法赔付,详情见最后图片


如何设置安全的密码保护:


介于很多人的历史密码保护问题设置的比较早,早已被淡忘,发现不少朋友的问题中出现的都是:我的母亲姓名、我的父亲姓名、我的兄弟姐妹姓名类似的问题。所以建议大家第一时间重置密码保护问题,并使用答非所问原则设置,最好设置一个自己一个自己都不记得的答案。然后仅用手机短信重置。。。(更换手机号码的时候记得重新绑定)

重置密码后估计支付宝检测到多次账号密码重置,已经要求使用手机进行二维码扫描认证。然并卵,因为手机APP登陆也只是需要登陆密码。。Orz.....

同时建议关闭小额免密码支付功能

http://p9.qhimg.com/t016f31c60dbb68b74e.png

最后,如果你曾经丢过手机、卖过手机,最好留存好相关证据如交易记录、报案材料等,避免被定义为“熟人作案”,无法赔付

http://p5.qhimg.com/t01cf6f117723560299.png


本文转载自 知乎
原文链接:https://www.zhihu.com/question/54595683?from=timeline&isappinstalled=0

参与讨论,请先 | 注册 | 匿名评论
发布
用户评论
教主 2017-01-21 17:55:10
回复 |  点赞

设置软件的人大多脑筋不够用,这是我感觉的国产货的一些问题,就好比克拉玛依油田俱乐部的大门,着火时停电自动掉下来关闭。为什么,我觉得是职称学历在作怪。一些人有职称没水平,却居高位。

大旱天籽 2017-01-11 11:04:37
回复 |  点赞

不是去年就是前年,是上了一把京东,漏洞很大。好像不用验证也可以发货,这要是遇上恶作剧的

NiFan- 2017-01-11 11:02:17
回复 |  点赞

//@360安全卫士:根据支付宝官方声明,今天上午支付宝已提高风控等级,用户只有在自己手机上才能通过近期购买商品和识别好友来找回密码。为了避免账号被盗造成损失,卫士建议网友关闭免密码支付,设置不易被熟人猜到的密保问题,最好使用短信、指纹验证等二次认证方式。

晴明sama-森羅万象 2017-01-10 15:51:12
回复 |  点赞

亲测有效

__NY__ 2017-01-10 15:51:12
回复 |  点赞

测了一下还是有这个漏洞的

Exp丶南寒之海 2017-01-10 15:51:12
回复 |  点赞

Repost

360安全卫士 2017-01-10 15:51:12
回复 |  点赞

根据支付宝官方声明,今天上午支付宝已提高风控等级,用户只有在自己手机上才能通过近期购买商品和识别好友来找回密码。为了避免账号被盗造成损失,卫士建议网友关闭免密码支付,设置不易被熟人猜到的密保问题,最好使用短信、指纹验证等二次认证方式。

光辉网络丶阿长 2017-01-10 15:51:12
回复 |  点赞

//@360安全卫士: 根据支付宝官方声明,今天上午支付宝已提高风控等级,用户只有在自己手机上才能通过近期购买商品和识别好友来找回密码。为了避免账号被盗造成损失,卫士建议网友关闭免密码支付,设置不易被熟人猜到的密保问题,最好使用短信、指纹验证等二次认证方式。

汪永正 2017-01-10 15:51:12
回复 |  点赞

//@360安全卫士:根据支付宝官方声明,今天上午支付宝已提高风控等级,用户只有在自己手机上才能通过近期购买商品和识别好友来找回密码。为了避免账号被盗造成损失,卫士建议网友关闭免密码支付,设置不易被熟人猜到的密保问题,最好使用短信、指纹验证等二次认证方式。

smile-瞬间 2017-01-10 15:51:12
回复 |  点赞

//@360安全卫士:根据支付宝官方声明,今天上午支付宝已提高风控等级,用户只有在自己手机上才能通过近期购买商品和识别好友来找回密码。为了避免账号被盗造成损失,卫士建议网友关闭免密码支付,设置不易被熟人猜到的密保问题,最好使用短信、指纹验证等二次认证方式。

查看更多