2016年的支付寶帳單的出爐,
讓我們更加清楚認識到,
它已經覆蓋了我們衣食住行方方面面。
很多人都關聯了銀行卡,有的還有借唄資格,
所以安全性方面由不得半點馬虎。
不過,最近微博上有網友爆料:
支付寶存在一個新漏洞,
陌生人有1/5的機會登錄你的支付寶,
而熟人甚至100%可以登錄你的支付寶。
按網友的說法,原理是這樣的:
登錄手機帳號——忘記密碼——手機不在身邊——淘寶買過的東西9張圖片選1個——好友驗證9個好友圖片選1個——登錄成功。這時就可以直接掃二維碼付款不用密碼。
有網友測試了整個過程
隨後晚報菌進行了多次測試,
以下測試基於在本人手機上
作的找回密碼測試
第一次按照網友所提示的界面步驟進行找回密碼,出現了兩個圖片的問題,第一個是從九宮格裡找出你認識的人,第二個是讓晚報菌找出最近買過的東西。
也有人問題2會彈出常用wifi或者地址的提問
或者
如果是身邊的熟人,這兩個問題確實能夠回答上來。可怕的是,點擊下一步,即可直!接!更!改!密!碼!
不過當晚報菌進行第二次,第三次測試找回密碼的時候,都沒有再出現這兩個問題。而是出現了另一個界面...
其中有「身份證」修改,以及「銀行卡信息」修改(幫領導買過機票啦,幫同事轉過帳啦…),我當著他們的面,修改了他們的支付寶密碼(領導現在在我背後看著我敲下這些文字,不知道寫完這篇稿子之後我會不會失業):
目前也無法得知,是因為支付寶檢測支付環境後改變了找回方式,還是這種找回方式只能使用一次。
經過多次多人反覆測試,發現能不能改這件事,是有機率的。有的號開始就沒有,有的號試一次就沒了。
當我再用這個方法改了親人的密碼後,瞬間失去了對支付寶的信任。
太可怕了!
關鍵是朋友們開始玩起了這個危險的遊戲!!!!
登錄支付寶後可以直接用付款碼付款,支付寶帳單也可以刪除,支付密碼可以用完整銀行卡號修改。支付寶的支付路徑還包括銀行卡、花唄、付款碼、餘額寶、免密支付等。
有網友也分享了自己的測試經歷。
仔細想想也是件隱患性挺大的事情
網友說:
@孫競:可能因為我不在支付寶裡社交,購物也不頻繁,淘寶和支付寶帳號是分開的,或者阿里緊急修復了這個 bug,找回密碼的方式只有「回答安全保護問題」、「驗證本人銀行卡信息」和「撥打驗證電話」三種,並沒有「熟人驗證」。
@驚云:支付寶最大的問題,就是把財產和社交綁定在一起。這本來就是最為矛盾的兩個功能,支付寶卻硬是不死心,各種改版,各種加新功能,就為了把社交作進來,這不,終於又出了BUG。
@ROCKZHENG111:支付寶確實不應該加好友,萬一哪天出個功能,查看好友消費記錄,後果自己想。
@Mr壞牙:親測可行。同事去開會了,我把她支付寶密碼改了,我覺得她要是丟錢我特麼就說不清楚了,好後悔。
@Jessica夢嬌:支付寶會校驗支付環境的,換了地區,換了手機都會需要手機驗證碼校驗的,除非你手機丟了,別人知道你的開機密碼,這樣真沒招,不過話說回來,正常人丟了手機第一時間就是凍結帳戶吧
@Gaxing丶Lau:改就改吧,無所謂了,頂多幾千塊的事,看清個熟人,值了
@五十風_:這件事告訴我們,不要亂加支付寶好友,更不要亂在支付寶裡曬購物單
不過也有知乎網友表示:
支付寶方面已經緊急修復了問題,
拿掉了驗證中的「親情驗證」。
非自己手機(曾用手機)已經不會出現「親情驗證」了。
如果突然收到支付寶發來的驗證碼簡訊,提示有人嘗試登錄你的支付寶帳號,大家可以立刻進入支付寶客戶端,點擊【我的】→【設置】→【安全中心】→【急救包】→【快速掛失】。
如果你的手機此前收到了異常的驗證碼,或是已經出現了異常登錄,就趕快修改密碼,防止自己的信息外露吧!
目前支付寶方面做了最新回復
來源:齊魯晚報(qiluwanbao002)綜合遼瀋晚報,新聞晨報,新浪微博,知乎
編輯:jiujiu