支付寶漏洞 - 問題剖析&熱修復解決方案

稀土君發表於2017-01-10

事件概述

事件開始於知乎的一個問題:如何看待支付寶 1 月 10 日被曝光的非密碼登入模式下可能出現的賬戶安全風險?

  1. 開啟支付寶登入介面,輸入帳號後點選忘記密碼
  2. 輸入帳號後直接點無法接收簡訊
  3. 這裡有很多驗證方式,選擇你所知道的方式,熟人驗證,你知道的朋友資訊
  4. 更改密碼,原密碼直接忘記,直接更改

支付寶漏洞 - 問題剖析&熱修復解決方案

圖片已有授權

使用者自我保護補救方法

事實上,不只是熟人,你購買的任何淘寶店鋪,理論上都可以辦得到,簡直太簡單了。
下面附幾則截止當前可用的補救方法:
1. 餘額轉出
2. 解綁銀行卡
3. 關閉小額免密支付:設定-支付設定-免密支付
4. 花唄額度調到最低的500
5. 購買支付寶內建的2元的賬戶安全險
6. 登入支付寶PC網頁版,設定安全問題
7. 如果收到任何來自支付寶的密碼更改簡訊,立刻去支付寶的急救包內辦理掛失

支付寶也官方釋出了要求大家改密碼的郵件:

支付寶漏洞 - 問題剖析&熱修復解決方案

最新支付寶轉發了螞蟻神盾局的微博

支付寶漏洞 - 問題剖析&熱修復解決方案


熱修復方案

在技術上,技術團隊面對這樣的安全問題要嘗試使用熱修復的技術,如:

  1. 熱修復之美團方案
  2. iOS 中的 HotFix 方案總結詳解
  3. 熱修復框架 HotFix 原始碼解析

更多可以看我們的 HotFix 標籤,或者相關收藏集《大家都在用的熱修復架構


相關文章