支付宝熟人改密码漏洞是真的吗, 近日,有网友爆料称支付宝出现新漏洞。陌生人有1/5的机会登录你的支付宝,而熟人甚至可以100%登录你的支付宝。那么这个漏洞是真的吗?该漏洞的详细过程是什么?让我们一起来看看吧!
就在今天早上,边肖在路上突然收到一条支付宝验证码的短信,发现异常后立即打开了支付宝客户端。结果,她被吓出了一身冷汗:
他的支付宝账户实际上正在被他人登录,然后他收到了一条来自朋友的微信消息:
我只是用网上流传的“支付宝致命漏洞”重置了你的登录密码,成功了!你不知道吗?朋友圈已经传开了!
支付宝漏洞?边肖立即打开朋友圈,发现许多网络安全圈的朋友转到了一篇名为“支付宝震惊致命漏洞并迅速解绑你的银行卡”的报道。
报道称,一些网民发现支付宝在登录方法上存在致命的逻辑漏洞,导致熟人登录对方的支付宝账户。该过程如下:
进入“忘记密码”界面后,选择“无法接受短信”。这时候就会出现两个相关的问题:第一,在九张图中找出你认识的人;第二,选择与你相关的地址。
只要正确回答这两个问题,就可以重置支付宝账户的密码,登录后就可以正常使用快捷支付功能而无需支付密码,直接使用对方支付宝中的资金。
很快,随着消息在朋友圈传播,越来越多的人表示收到了支付宝登录验证短信和相关账户异常提醒,许多人开始尝试用身边朋友的支付宝账户重现该漏洞。有人说,
周围不下十个人成功登录了周围朋友的支付宝账户,甚至还招募了网络安全专家,因此他判断这个问题可能非常严重。
真正的成功率是多少?
在对我们周围朋友的支付宝账户进行了大约7~8次尝试后,成功重置了朋友的密码,但这是在双方都非常熟悉并且知道他们认识的人、购物记录和家庭住址的前提下实现的。虽然结果确实令人惊讶,
但是,成功率没有网上那么夸张。“陌生人有五分之一的概率登录你的支付宝,熟人有100%的概率登录你的支付宝。”
在测试中,我们发现两个测试问题会随机出现不同的问题,如“你认识的人”、“与你有关的地址”和“你买过的东西”。只要回答错一次或两次,此方法就会被阻止,并且只允许其他方法找回密码。
而其他途径在尝试失败后会逐渐被封锁,这似乎触发了支付宝的某种安全机制。
经过多次实验,我发现无论我使用谁的支付宝账户,都无法再使用以前通过相关信息重置密码的方法。
到上午10点左右,我们周围许多正在测试该漏洞的朋友也表示,他们的测试失败了,只有在自己的常用设备下才能触发相关消息的检索。有安全从业者表示:“支付宝反应很快,据说已经调整了风险控制。”
支付宝官方回应
上午11点50分左右,支付宝官方微博发布声明宣布了这一事件。全文如下:
虽然据雷锋网报道,蚂蚁金服尚未就风险控制措施给出具体分析。com、支付宝风控和阿里聚安全都应用了同一套技术基础。基于此,可以判断支付宝也采取了以下风险控制措施:
支付宝的所有验证登录数据都将被纳入风险信息库。每一个有风险的用户及其背后的手机、邮箱、IP地址和身份证号都会被记录下来。
对于登录支付宝的每台设备,风险控制措施将为设备定义一个唯一的指纹,系统将收集多维信息,例如:
App的基本信息:包括App的名称和版本,以及集成SDK的版本信息。
设备信息:包括设备的名称、型号、系统、IMEI号和MAC地址。(iOS设备只能获取部分信息)
网络信息:wifi、4G等参数。
开放接口信息:如软件ID和开发者ID。
根据上述信息,综合计算出设备的“指纹ID”。这个ID相当于设备的ID卡。当硬件改变时,只要改变的部件少于一定比例,它仍将被认为是相同的设备。
根据支付宝的公告,风险控制级别有所调整。支付宝的风险控制措施将根据上述设备指纹判断是否为用户的常用设备。用户只能通过“相关信息验证”的方式使用自己设备上的相关信息进行登录。
因此,现在没有必要急着解绑银行卡。更重要的是,看好你的手机!
支付宝熟人改密码漏洞是真的吗,以上就是本文为您收集整理的支付宝熟人改密码漏洞是真的吗最新内容,希望能帮到您!更多相关内容欢迎关注。