央广网

支付宝曝出重大安全漏洞 账户密码可被轻易篡改

2017-01-10 19:58:00来源:央广网

  央广网北京1月10日消息(记者陈玺宇)据经济之声《天下公司》报道,上海市民Jack最近遇到一件怪事。他在家休息,突然来了一条短信。

  Jack:“突然一长串号码,发来一条短信,自称是支付宝,里面有一个几位数字的验证码。我也不知道这条短信要干嘛,上面就说给你这个验证码,不要把这个验证码给别人。”

  

  当时他没有操作支付宝,也没有发现有任何异常,以为是电信诈骗之类的短信,所以没有理会——后来发现是朋友恶作剧,登进了他的支付宝账户。

  恐怖的是,他并没有把收到的验证码告诉朋友,也从来没有告诉过任何人自己的支付宝密码。

  Jack:“我没有给别人密码、验证码,然后我朋友就登陆进去了。”

  后来知道是朋友开玩笑,他松了一口气,也去捉弄了自己的朋友。他说,利用支付宝安全漏洞去盗取熟人的支付宝账号,非常容易。

  Jack:“很简单。第一步,我知道你的手机号,输入你的手机号;第二步,如果你的手机号是支付宝账号的话,就选‘忘记密码’;第三步,系统让我输入短信验证码,选择‘手机不在身边’;第四步,系统会让你选一个支付宝好友,很容易就选出来了,再选一个你最近购买过的商品,也很容易选出来。然后这个支付宝账户就让我登陆进去了。”

  

  天下公司随后联系了支付宝客服,对方告诉我们,支付宝重置密码的规则的确是这样,如果选择“手机验证”,输入验证码就可以重置;如果选择“手机不在身边”,那么系统会生成身份认证问题,比如选择的支付宝好友,比如选择最近购买过的商品。

  随后,越来越多的用户在网络上曝出自己支付宝账号被盗的消息,天下公司第一时间联系了支付宝方面。蚂蚁金服公众与客户沟通部工作人员彭派告诉天下公司,目前已经对支付宝密码重置功能进行了修改。

  彭派:“目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。”

  尽管支付宝反复强调,这次问题的原因并非自身安全系统的bug,只是出于用户方便考虑,保留了“手机不在身边”的选择,所以增加了潜在风险。但业内人士并不这么认为。

  猎豹移动安全工程师李铁军:“关键在于,他的账户验证系统没有对用户的常用设备做验证。业内通行做法一般都会检测用户现在使用的设备是不是常用设备,在这个事件里这一关被绕过了,那出现了这样的漏洞就不奇怪了。”

  李铁军表示,正常情况下,一些密级较高的服务,比如银行卡的登录、微信账号的登录,它们都有一个共同特征,就是会对用户最常用的设备做一个验证,你在常用手机上登录的话,非常简单,非常流畅,但如果换一个没接触过的设备来登录,就会发现需要验证的东西会很多。

  此外,大家对于支付宝安全问题的另外一个争议在于,验证问题的选择也欠缺考虑。用户的支付宝好友和购物记录,并非安全级别很高、隐私性极强的问题,特别是对于用户身边的人来说,比如同学、室友、同事,很容易就能找到正确答案。

  除了强调互联网公司的责任,对于普通用户来说,保护自己的账户安全、信息安全,我们还能做些什么?李铁军说,要看好自己的手机,因为它是最后一道防线。

  李铁军:“我们会发现,跟资金管理的应用越来越多的是通过手机来完成,那么手机已经成为用户最关键的设备。不管什么情况,你的手机安全是第一步,它就是像你的大门的钥匙一样,用户应该保护好自己的手机,至少应该要有一个锁屏密码;然后那些关键服务需要有一个第二道密码,越复杂越好。”

编辑: 昌朋淼
关键词: 支付宝;账户密码;安全漏洞
302 Found

302 Found


nginx
302 Found

302 Found


nginx
302 Found

302 Found


nginx