網友稱熟人通過好友驗證等可修改他人登錄密碼,支付寶稱已提高安全等級
支付寶被曝出現“熟人漏洞”。昨日一大早,有網友稱可通過購物驗證、好友驗證等方式修改他人支付寶登錄密碼。支付寶昨日中午回應稱已經修改,目前僅在用戶自己的手機上,才能通過識別近期購買商品以及識別本人好友來找回登錄密碼,通過其他手機設備無法應用這一方式找回登錄密碼。
購物識別、好友識別漏洞已堵
1月10日上午,有網友聲稱發現“支付寶新漏洞”,“陌生人有5分之一的機會登錄你支付寶,熟人有百分之百機會登錄你的支付寶”。按其描述,在選擇登錄手機賬號時,選擇忘記密碼,並點擊手機不在身邊,然後勾選在淘寶中買過的一件東西,再選擇一位好友圖片進行驗證,便可以成功登錄。
對於上述方法,昨日有用戶在微網志上稱,用自己手機去重置朋友的密碼,結果成功“盜號”。還有多家媒體稱按照該方法實現了對熟人支付寶密碼的修改。
臨近中午記者嘗試通過朋友的手機登錄自己的支付寶,在輸入手機號後選擇重置登錄密碼,期間支付寶會發送驗證碼資訊至登錄手機號。但除了電訊校驗碼之外,其他找回的方式有“回答安全問題”、“刷臉驗證”、“驗證本人銀行卡資訊”、“撥打驗證電話”等四種方式,並未出現購買商品驗證和好友識別等程式。
隨後,記者又通過自己的手機進行上述操作,在好友識別中,系統則出現了9張人物的圖片,成功勾選“認識的人”便可進入購物驗證環節。與上一流程類似,在9張商品圖片中勾選用戶購買過的商品後,成功設置了新密碼。
支付寶昨日中午通過官方微網志回應稱,上午已提高風控系統的安全等級,目前僅在用戶自己的手機上,才能通過識別近期購買商品以及識別本人好友來找回登錄密碼,通過其他手機設備無法應用這一方式找回登錄密碼。
無密碼小額支付遭網友吐槽
對於支付寶出現上述漏洞,昨日引發網路熱議。有網友在支付寶官方微網志上評論,表示“好好做支付寶,別做社交!”至記者截稿該評論得到了2142個點擊。對此評論,支付寶回應稱:“你説得對”。
不過,對於“熟人漏洞”,支付寶方面表示,僅在特定情況下才會實現。“通常情況下,用戶找回登錄密碼至少需要輸入手機短信驗證碼,對於部分暫時無法收到短信的用戶或者更換移動設備的用戶,我們的風控系統會先進行評估。”
支付寶表示,在安全系數較高的情況下,才讓用戶回答一系列安全問題,然後修改登錄密碼。對此説法,有網友稱,“你們看被盜是很小的概率,但是一旦發生對我們來説就是百分之百”。
此外,支付寶表示,“這一策略只能找回登錄密碼,僅通過回答安全問題並無法找回支付密碼”。針對此説法,有網友吐槽了支付寶的“付款”功能,該功能無須輸入支付密碼,只需商家掃描支付寶二維碼即可實現上限一千元的小額支付。
不少網友也表示類似的擔憂,比如呼籲在商家掃碼之後,多一個手機輸入密碼確認的環節。
■ 小貼士
移動支付“安全險”熱銷
新京報記者注意到,隨著支付安全問題頻頻爆發,保障賬戶安全類的保險也成了熱銷産品。目前,各大保險公司推出的盜刷險保障範圍大同小異,保額在5萬元、10萬元甚至100萬元的盜刷理賠險,保費往往從幾角錢到幾十元不等。
以鳳凰金融的壹賬保為例,該保險可保個人名下第三方支付賬戶及銀行卡資金安全,全年不限次賠付,最少的花48.88元保費全年保障額度為10萬元,花333.88元保費全年保障額度可高達100萬元。在理賠時報案、遞交相關材料申請理賠、保險公司查勘審核通過之後,一個工作日之內賠款可到賬。
某保險工作人員告訴記者,賬戶安全險作為意外情況的補充,花小錢買放心是個不錯的選擇。不過需要注意,各種産品賠付條件各不相同,消費者在購買前一定要仔細研讀相關賠付條款。最好選擇保障範圍更廣更明確的賬戶安全險種,在理賠時就能很清楚地劃定界限,及時獲得賠償。
專家表示,保障賬戶安全最重要的還是消費者的自我保護意識。比如,要保管好賬號、密碼和網盾,不要輕易向他人透露證件號碼、賬號、密碼等;認清網站網址,避免陷入釣魚網站的圈套;確保電腦系統和手機安全,定期下載並安裝最新的作業系統和瀏覽器安全補丁。(王全浩 楊礪)
追問1
找回密碼是否存風險漏洞?
在網友曬出他人能夠通過購物資訊和好友識別登錄用戶賬號後,支付寶立即回應這兩種方式目前僅能在用戶自己的手機上找回密碼。
有用戶擔心,這種驗證方式在熟人交往和消費資訊分享的情況下,存在漏洞。
上海財經大學副教授曹嘯表示,“網際網路講究用戶體驗,以前登記的一些問題可能記不住,用戶為了圖方便,也不願意輸各種號碼,直接選擇就好了。”
曹嘯認為,作為支付工具,從支付寶來説,特別希望用一個很方便的方式來優化各種用戶體驗,但在為客戶提供便利性的時候,也要考慮夠不夠安全。
“金融服務的目的是讓大家保證安全,同時提升金融消費者的體驗”。中央財經大學中國銀行業研究中心主任郭田勇表示,金融支付機構要在風險與效率之間尋找一種平衡,他人在通過購買過的商品等方式登錄支付寶後,應該還有其他的風險識別手段,但用戶沒有注意到。
追問2
免密支付是否會被利用?
針對今日網友聲稱的熟人登錄用戶支付寶後,掃碼支付便不用支付密碼的疑問。新京報記者從螞蟻金服相關人士處了解到,在使用別的非本人設備登錄支付寶賬戶後,使用免密支付也會先要求輸入交易密碼。
“通常講,手機如果保存不好,密碼被別人修改了,安全性就很難保證”。曹嘯認為,密碼被別人修改登錄後,比如有些支付是免密支付,包括商家掃碼,支付安全就不好談。
不過,他也表示,免密支付的問題可能不是很大,“因為大多是小額”。他表示,支付工具可以通過金額控制、情景適當限制,在安全和便利性之間做一個折中,是一個比較好的方式。
對此有網友表示,免密支付的上限是1000元,且是單次支付,還是需要更安全的支付手段。
追問3
“曬單”為熟人漏洞提供便利?
在支付寶不斷嵌入各種消費場景的同時,在社交方面也不斷進行嘗試。通過支付寶進行消費後,有的用戶也會隨手分享自己的消費體驗。
在昨日支付寶兩項驗證曝出後,也有用戶擔心支付寶好友圈曬單會為洩露資訊提供出口,甚至有聲音反對支付寶做社交。
曹嘯表示,用戶的消費行為等暴露出來後,有增加洩露個人資訊的可能,有些驗證方式就不夠安全了。“當大家越來越多使用電子支付的方式,對支付安全的要求和挑戰更高,在事前不可能了解所有的漏洞,不存在100%絕對安全的驗證方式,這是很正常、可預見的一次挑戰。”
他認為,把支付方式和社交平臺綁得越多越不安全,但綁得越多,運用的場景會越多,用起來更方便,但對技術提出更高的要求。“讓客戶發現問題,從這個角度來説,支付工具提供者做得不夠。”(記者陳鵬 李明)
