事件概述
事件開始於知乎的一個問題:如何看待支付寶 1 月 10 日被曝光的非密碼登入模式下可能出現的賬戶安全風險?
- 開啟支付寶登入介面,輸入帳號後點選忘記密碼
- 輸入帳號後直接點無法接收簡訊
- 這裡有很多驗證方式,選擇你所知道的方式,熟人驗證,你知道的朋友資訊
- 更改密碼,原密碼直接忘記,直接更改
圖片已有授權
使用者自我保護補救方法
- 騰訊科技也證實發發文了:緊急!支付寶驚現重大漏洞,熟人能輕鬆篡改你的密碼
- 然後微信公眾號[南船北馬]釋出文章:支付寶熟人改密漏洞截至當前可用的補救方法
事實上,不只是熟人,你購買的任何淘寶店鋪,理論上都可以辦得到,簡直太簡單了。
下面附幾則截止當前可用的補救方法:
1. 餘額轉出
2. 解綁銀行卡
3. 關閉小額免密支付:設定-支付設定-免密支付
4. 花唄額度調到最低的500
5. 購買支付寶內建的2元的賬戶安全險
6. 登入支付寶PC網頁版,設定安全問題
7. 如果收到任何來自支付寶的密碼更改簡訊,立刻去支付寶的急救包內辦理掛失
支付寶也官方釋出了要求大家改密碼的郵件:
最新支付寶轉發了螞蟻神盾局的微博:
熱修復方案
在技術上,技術團隊面對這樣的安全問題要嘗試使用熱修復的技術,如:
更多可以看我們的 HotFix 標籤,或者相關收藏集《大家都在用的熱修復架構》