支付宝回应修改密码漏洞 称已提高风控安全等级

   2017-01-12 佚名5890
核心提示:网络截图  今日有网友发现了支付宝的一个致命漏洞,他人熟知你的支付宝个人信息后可以通过找回密码功能登录并篡改支付宝密码。

网络截图

  今日有网友发现了支付宝的一个致命漏洞,他人熟知你的支付宝个人信息后可以通过“找回密码”功能登录并篡改支付宝密码。支付宝方面回应称,这一方式仅在特定情况下才会实现,目前已进一步提高了风控系统的安全等级。

  按照网友的说法,漏洞的原理是这样的:打开支付宝登录界面,输入帐号后点击忘记密码,在重置登录密码中选择无法接受短信,然后通过个人信息验证即可“重置登录密码”。其中个人信息可能是识别好友、识别近期购买物品、真实姓名和身份证号等。例如:登录手机账号——忘记密码——手机不在身边——淘宝买过的东西9张图片选1个——好友验证9个好友图片选1个——登录成功。
 
  支付宝在线上支付中需要支付密码,但在当面扫码付款中没有防护手段。此外个人支付宝账号中完整显示了个人的真实信息,不法分子也可通过求好友转账等方式进行诈骗。
 

 

  以下是支付宝方面的回应:
 
  我们接到网友反映,称可以通过识别好友、识别近期购买物品,来找回支付宝登录密码。
 
  这一方式仅在特定情况下才会实现。通常情况下,用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户,我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。
 
  这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。
 
  为了更好提升用户的安全感,在接到网友反映后,我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。
 
  我们也欢迎用户继续对我们的安全策略提出意见和建议,我们会根据大家的反馈进一步完善和修正。
 
举报收藏 0打赏 0评论 0
点击排行