針對支付寶出現重大漏洞,支付寶方面回應稱,目前僅在使用者自己的手機上,才能透過識別近期購買商品以及識別本人好友來找回登入密碼,透過其他手機裝置無法用這一方式找回登入密碼。
同時,支付寶稱,在接到網友反映後,其提高了風控系統的安全等級。
今日有網友爆料支付寶存在一個新漏洞,陌生人有1/5的機會登入你的支付寶,而熟人甚至100%可以登入你的支付寶。按照網友的說法,漏洞的原理是這樣的:登入手機賬號——忘記密碼——手機不在身邊——淘寶買過的東西9張圖片選1個——好友驗證9個好友圖片選1個——登入成功。這時就可以直接掃二維碼付款不用密碼。(完)
以下是支付寶的官方回應:
我們接到網友反映,稱可以透過識別好友、識別近期購買物品,來找回支付寶登入密碼。
這一方式僅在特定情況下才會實現。通常情況下,使用者找回登入密碼至少需要輸入手機簡訊驗證碼。對於部分暫時無法收到簡訊的使用者或者更換移動裝置的使用者,我們的風控系統會先進行評估(比如賬戶資訊完整程度、網路環境等因素)。在安全係數較高的情況下,才讓使用者回答一系列安全問題,只有在回答正確後,才能修改登入密碼。
這一策略只能找回登入密碼,僅透過回答安全問題並無法找回支付密碼。且一旦使用者支付寶在其他裝置被登入,本人裝置會收到通知提醒。
為了更好提升使用者的安全感,在接到網友反映後,我們於今日上午進一步提高了風控系統的安全等級。目前僅在使用者自己的手機上,才能透過識別近期購買商品以及識別本人好友來找回登入密碼,透過其他手機裝置是無法應用這一方式找回登入密碼的。
我們也歡迎使用者繼續對我們的安全策略提出意見和建議,我們會根據大家的反饋進一步完善和修正。