支付寶可隨意更改他人密碼,回應稱已提高風控安全等級

作者 | 發布日期 2017 年 01 月 10 日 22:43 | 分類 支付方案 , 行動支付 , 資訊安全 follow us in feedly

1 月 10 日凌晨,有網友在微信群稱支付寶可以更改別人的密碼,甚至可以不用別人原密碼直接用手機號就可以更改。




對此,支付寶方於 10 日中午 12 點左右回應表示,支付寶已於 10 日上午提高風控系統的安全等級。

不只是熟人,或許誰都可以改掉你的支付寶密碼

據了解,支付寶的裝置管理功能此前 2016 年於 10 月 31 日正式下線。據支付寶官方介紹,該功能下線後,支付寶 App 一次只允許登錄一台裝置,在當前裝置登錄後,其他裝置會自動退出登錄。

自媒體「科技先生」對此消息做了求證,確定是可以更改,並以流程為證。

  1. 打開支付寶登錄介面,輸入帳號後點擊忘記密碼
  2. 輸入帳號後直接點無法接收短訊
  3. 這裡有很多驗證方式,選擇你所知道的方式,熟人驗證,你知道的朋友資訊
  4. 更改密碼,原密碼直接忘記,直接更改
  5. 修改完直接登入帳號,擁有全部功能,且支持免密支付。

愛范兒在測試後,發現確實有一定概率可以直接改掉密碼。我們測試了 3 個不同的支付寶帳戶,其中有兩個「被修改密碼成功」。

任何人、用一台常用的手機、選擇其中一個驗證方式,都可以直接改掉他人的支付寶帳號密碼。而熟人驗證、朋友資訊在改密碼過程使用起來是十分方便的。

例如說,可能你加過某個商家,他有了你的一些個人資訊如淘寶帳號、曾經的消費紀錄;或者說,你和某個陌生人在路上借過現金,你加他為支付寶好友,轉過帳給他。

這些資訊,都可能成為熟人驗證的證明。

支付寶表示,雖然支付寶之前支持購買商品和辨識好友登錄,但除了今天的測試情況外,沒有發生和監測到大規模的盜號事件,而為了用戶的安全還是調整了相應策略。

「支付寶安全保障規則」裡有提到一個資產安全保護前提:

以下情況不在本保障服務的保障範圍內:

經調查或經支付寶合理判斷,對您主張您的資金未經本人授權支出的事實存疑或支付寶有理由認為可能由您本人操作或是您的配偶、親屬、朋友或僱員、代理人等所為的。如:資金支出的操作行為發生在可信網路環境下(如常用設備、IP、透過短訊驗證等),或存在您本人陳述與支付寶調查到的事實不符等可疑情形。

愛范兒和支付寶了解此條例之後是否會做修改,官方回應表示,要根據具體事件而定,如果發生相關情況,會在保險公司和公安機關會審核後做出判決。

網友出招:暫時的補救辦法

下面附幾則截至當前可用的補救方法(整理自知乎):

  1. 餘額轉出
  2. 解綁銀行卡
  3. 關閉小額免密支付:設置─支付設置─免密支付
  4. 花費額度調到最低的 500
  5. 購買支付寶內置的 2 元的帳號安全險
  6. 登錄支付寶 PC 網頁版,設置安全問題
  7. 如果收到任何來自支付寶的密碼更改短訊,立刻去支付寶的急救包內辦理掛失

目前,支付寶方面回應已提高風控系統的安全等級,此辦法或可不用。

支付寶回應:於 10 日上午進一步提高了風控系統的安全等級

自 10 日凌晨,在安全漏洞事故被曝光近 12 個小時後,支付寶方面終於公布處理結果。據了解,支付寶於 10 日上午進一步提高了風控系統的安全等級。目前僅在用戶自己的手機上,才能透過辨識近期購買商品以及辨識本人好友來找回登錄密碼,透過其他手機裝置是不能用這一方式找回登錄密碼的。

以下為回應全文:

我們接到網友反映,稱可以透過辨識好友、辨識近期購買物品,來找回支付寶登錄密碼。

這一方式僅在特定情況下才會有效。通常情況下,用戶找回登錄密碼至少需要輸入手機短訊驗證碼。對於部分暫時無法收到短訊的用戶或者更換行動裝置的用戶,我們的風控系統會先進行評估(比如帳號資訊完整程度、網路環境等因素)。在安全係數較高的情況下,才讓用戶回答一系列安全問題,只有在回答正確後,才能修改登錄密碼。

這一策略只能找回登錄密碼,僅透過回答安全問題並無法找回支付密碼。且一旦用戶支付寶在其他裝置被登錄,本人裝置會收到通知提醒。

為了更好提升用戶的安全感,在接到網友反映後,我們於 10 日上午進一步提高了風控系統的安全等級。目前僅在用戶自己的手機上,才能透過辨識近期購買商品以及辨識本人好友來找回登錄密碼,透過其他手機裝置是無法用這一方式找回登錄密碼的。

我們也歡迎用戶繼續對我們的安全策略提出意見和建議,我們會根據大家的反饋進一步完善和修正。

(本文由 愛范兒 授權轉載;首圖來源:支付寶) 

關鍵字: , , , , ,

發表迴響