您的位置:首页>>移动互联
搜索: 标题  

支付宝回应密码漏洞问题:安全等级已升级,用户资金不受影响

发布时间:2017-01-10 15:38:04  来源:钛媒体    编辑:贺飞  背景:
支付宝回应密码漏洞问题:安全等级已升级,用户资金不受影响

  今天在朋友圈的又传疯了一条阿里巴巴的坏消息——支付宝出现了重大的漏洞,熟人在知晓你的支付宝个人信息后,可以通过“找回密码”功能登录并篡改支付宝密码。网上曝光的支付宝漏洞原理如下:

  在打开支付宝登录界面,输入帐号后点击忘记密码,在重置登录密码中选择无法接受短信,然后通过个人信息验证即可“重置登录密码”。其中个人信息可能是识别好友、识别近期购买物品、真实姓名和身份证号等,比如:

  淘宝买过的东西9张图片选1个,或者好友验证9个好友图片选1个,选择正确便会登录成功。这时就可以直接扫二维码付款不用密码。

支付宝回应密码漏洞问题:安全等级已升级,用户资金不受影响

  而根据网友的测试,陌生人有五分之一的机会登录你的支付宝,而熟人则有百分之百的机会登录你的支付宝。

  在本次漏洞发生不久之后,支付宝通过“蚂蚁神盾局”微博发出了声明:

  我们接到网友反映,称可以通过识别好友、识别近期购买物品,来找回支付宝登录密码。

  这一方式仅在特定情况下才会实现。通常情况下,用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户,我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。

  这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。

  为了更好提升用户的安全感,在接到网友反映后,我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。

  我们也欢迎用户继续对我们的安全策略提出意见和建议,我们会根据大家的反馈进一步完善和修正。

  支付宝官方微博也在第一时间转发了这条微博,并声称,

  为了更好提升用户的安全感,在接到网友反映后,我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。

  作为中国人最常用的“手机钱包”之一,支付宝的各种行为与表现都会被无限的放大与分析。既有支付宝VR红包这样被捧上天的PR举动,有2016年全年账单一出现便刷爆朋友圈的事件,也就有上线生活圈被骂支付宝转型陌陌行为。

  在今年的六月一号,支付宝曾经强迫所有的用户来过儿童节,在每一位用户名称的背后都强制加上了“宝宝”的称谓,这引起了广大网友的抵触:

  不告知就改名,还以为账户被黑了。今天能改我的名,明天会不会改我的余额;平时那么多人要认马云当爸爸,现在人家终于称呼你为宝宝了,又有人不乐意了;更恶心的是,这两个字还没法删除,6.1-6.5号部分服务器升级暂时无法修改头像、昵称;……

  作为一款涉及到支付、交易的软件,最重要的是什么?

  安全。

  现在没有出现未经用户许可,便擅自修改用户名称,用户还无法操作的事情。但是这样的漏洞出现,也无疑给支付宝的安全问题,打上了巨大的阴影。

  阿里巴巴原本就是一家“业务决定论”的公司,在阿里的内部技术人员的决定也并非是“最高指示”。在知乎上《如何看待支付宝 1 月 10 日被曝光的非密码登录模式下可能出现的账户安全风险?》的话题下,有一个ID为云舒的用户这样讲,

  首先因为对安全的理念,我们安全人员看案例,他们业务人员看概率。其次,技术发展方向,他们为了使用方便,太信任机器学习模型,太信任基于风控的控制,而忽视了传统技术层面的强控制。

  也许大体能解释这样的事情为何会发生。




返回网站首页 本文来源:钛媒体

本文评论
App Store充值卡线上开卖,背后是苹果的诚意和阿里的野心
在苹果最近的一次系统更新中,苹果在App Store首页的最下端曾悄悄埋下了一个伏笔,那就是新增了一个...
日期:01-10
支付宝回应密码漏洞问题:安全等级已升级,用户资金不受影响
今天在朋友圈的又传疯了一条阿里巴巴的坏消息——支付宝出现了重大的漏洞,熟人在知晓你...
日期:01-10
华为被诉索赔50万!安智市场碰瓷还是不正当竞争?
日前,因涉嫌不正当竞争,北京力天无限网络技术有限公司(以下简称“安智市场”)将华为技...
日期:01-10
小程序正式上线 微信会遭苹果、谷歌联手封杀吗?
其实我们的目的并不是从开发人员的角度来说要改变一下应用程序的存在模式,相反,我们肯定是要满足...
日期:01-10
小程序之后,教育机构们“跟进”还是“观望”?
在经过了1天的传播、讨论,俨然,小程序已经成为了各行各业关注的焦点。就教育行业而言,截止到笔者...
日期:01-10
艾瑞年度报告:美柚拿下医疗健康APP“双料冠军”
近日,国内权威数据机构艾瑞发布了2016年移动医疗健康市场的年度数据报告。报告数据显示在移动医疗...
日期:01-10
72变携手微鲸 抢年货送大礼
年货好礼提前相送,72变(www.72byte.com)携手微鲸联合举办抢年货大型抽奖活动,从2017年1月4号到1月...
日期:01-10
微信小程序会代替APP吗?
“程序猿”用不眠夜迎来小程序后台的第一次“发布”,睡得晚的微友晒出最爱APP...
日期:01-09
谷歌哭晕 iOS 10系统发布4个月升级率已达到76%
尽管Android和谷歌的粉丝不愿意承认,但是谁都不能否认的是,在新版操作系统升级的比例和效率上,谷...
日期:01-09
微信小程序来了,微信H5游戏平台还会远吗?
1月9日微信小程序如期而至,却没有游戏的事儿。不过,据内部人士透露,微信H5游戏将在年前于安卓平...
日期:01-09
发力“小程序”,YunOS和微信到底在想什么?
10年前,在旧金山莫斯科尼(Moscone)会展中心,史蒂夫·乔布斯(Steve Jobs)发布了苹果历史上的...
日期:01-09
微信小程序正式上线,如何正确玩转?
历经了一年等待的小程序在万众瞩目下终于揭开神秘面纱,于今日凌晨正式上线。用户可以将微信更新至i...
日期:01-09
微信小程序的场景是什么,用户获取成本是变高了还是变低了?
今夜零点,小程序正式上线。在体验了45款小程序后,我对小程序的使用场景有了更多的认识。以下是一...
日期:01-09
如何先人一步发现网站可用性问题?
网站的可用性绝对是评价网站的诸多指标中最基础也是最重要的一个,没有可用性,就谈不上其他进阶功...
日期:01-09
小程序到底要抢占什么,又将给运营商的流量经营带来哪些影响?
今天,1月9日,微信小程序按照预告的时间如约而至。今天,六点钟起床,朋友圈齐刷刷的是微信小程序...
日期:01-09
2016开源软件TOP20公布 入选最多的竟然是它
1月5日,开源中国公布了“2016 年度最受欢迎中国开源软件评选”结果,在TOP20的榜单中阿...
日期:01-09
微信小程序来了,要打破什么,能打破什么?
微信小程序9日正式上线。用户可以通过二维码、搜索使用开发者提供的小程序。升级至最新版本微信后,...
日期:01-09
微信小程序上线,小程序到底要抢占什么?
今天,1月9日,微信小程序按照预告的时间如约而至。今天,六点钟起床,朋友圈齐刷刷的是微信小程序...
日期:01-09
微信小程序今日正式上线 可与聊天窗口自由切换
备受关注的微信小程序终于在今日正式上线,用户需将微信更新至iOS6.5.3版本或Android6.5.3版本,点...
日期:01-09
App下半场的关键是争取用户时间, 都有哪些玩法?
2017年,互联网下半场正式开始,O2O、电商、出行…不同行业都进入了下半场比赛,移动互联网上...
日期:01-09