市民网·黄山论坛

查看: 4147|回复: 25

[茶余饭后] 提醒!支付宝重大漏洞,熟人可轻松破解密码!

    [复制链接]
发表于 2017-1-10 14:36:14 | 显示全部楼层 |阅读模式

登陆参与交流

您需要 登录 才可以下载或查看,没有帐号?我要注册

x
今天上午,网曝支付宝存在新漏洞——陌生人有五分之一的机会登录你的支付宝,而熟人则有百分之百的机会登录你的支付宝!

    感觉身边的朋友都在体验人人当黑客的感觉,很有可能变为全民狂欢!艾玛,支付宝的应急部门都干嘛去了!人家微信昨天刚发布小程序,支付宝今天就要大干一场的节奏?
    按照网友的说法,漏洞的原理是这样的:登录手机账号——忘记密码——手机不在身边——淘宝买过的东西9张图片选1个——好友验证9个好友图片选1个——登录成功。这时就可以直接扫二维码付款不用密码!


1. 打开支付宝登录界面,输入帐号后点击忘记密码

1.jpg

2.输入帐号后直接点无法接收短信

2.jpg

3.这里有很多验证方式,选择你所知道的方式,熟人验证,你知道的朋友信息

3.jpg
4.jpg

4.更改密码,原密码直接忘记,直接更改

5.jpg
修改完直接登入账户,拥有全部功能,且支持免密支付

360截图20170110143203209.jpg

    在这里,解锁密码需要的必备条件只有三个,你的电话、你买过的东西和你的好朋友,那谁会有可能知道这些信息呢?
   
    目前来说就已经有淘宝卖家、快递小哥、你的同事和你的朋友这几个选项了。怎么样,是不是开始有一种浑身发冷的感觉了?

    别慌!漏洞爆出的时间是在1 月10日的凌晨,基本上有一小批人已经在支付宝解决这个漏洞前就尝试了一把当黑客的感觉了。

    但是现在,支付宝应急部门想必已经起床,此时你再尝试,就只能通过下图的几种方式来验证了,恩,看起来是不是安全了很多?

7.jpg

    有网友询问了支付宝工作人员,对方称:“我们正在核实并会在今天稍晚给出回复”。

    对大多数人而言,支付宝几乎就是全部身家了,里面有钱、有朋友呢~而这也让深八菌意识到,支付宝已经不仅是一个手机 App 了,包括微信支付,它们就是手机上的银行卡,不,信用卡,是分分钟丢掉就可能被人盗刷威胁财产安全的存在!

8.jpg

知乎用户惊云在「怎么看待支付宝的熟人可以登录并篡改你支付宝密码的特性?」这一问题下的回答,真的令人深省~
平心而论,支付宝在支付找回密码这块功能的产品经理做错了吗?没有。考虑到手机不在的情况,通过个人隐私信息来找回密码,其实是非常方便和有效的。然而,支付宝忘记了它本身捆绑的,与之核心功能相矛盾的社交功能。于是,我可以看到你平时买了啥,看到你平时买的东西分享了啥,我在现实中也可以知道你买了啥,可以看到你拆开包裹获得了啥。店家和快递员可以得到你的微信号,淘宝号,甚至也知道你买了啥。
金钱交易中最重要的东西:隐私,在这里非但没有被保护好,反而因为其社交功能,更大扩大化了。熟人社交,碰不得钱财。因为线上的便捷性而忽视线下的复杂性,是互联网最容易让人忽视的危险。
——知乎用户惊云
    支付宝的产品经理在设置找回密码流程时确实考虑了人性的因素,但这种人性化和便捷是建立在我登录自己账号的情况下,但如果我的账号正在被不法之徒破解呢?这种人性化岂不是就在便利他人?希望支付宝的产品经理能够意识到自己最本质的产品需求是什么,其实只有两个字——安全

原文转载自微信公众号:深扒互金圈

回复

使用道具 举报

现在中国阿里,腾讯,银联三大通杀货币支付
回复 支持 反对

使用道具 举报

大家想多了。不是怕漏洞,是怕没得漏。
回复 支持 反对

使用道具 举报

发表于 2017-1-11 14:09:29 | 显示全部楼层
等你知道是漏洞,就不是漏洞了
回复 支持 反对

使用道具 举报

发表于 2017-1-10 18:32:49 | 显示全部楼层
好怕怕
还好我没有
回复 支持 反对

使用道具 举报

发表于 2017-1-10 20:25:44 | 显示全部楼层
没那么简单吧
回复 支持 反对

使用道具 举报

呵呵,马老板还赔不起你那点钱
回复 支持 反对

使用道具 举报

发表于 2017-1-10 22:59:38 | 显示全部楼层
漏洞呀漏洞
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 我要注册

本版积分规则

Archiver|小黑屋|机动车违章查询|公积金查询|订机票|订火车票|黄山论坛 ( 皖B2-20100047

GMT+8, 2017-3-27 04:51 , Processed in 0.176100 second(s), 30 queries , Gzip On.

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表