据该知乎网友的截图显示,只需四步熟人即可登录并篡改你支付宝密码,流程大致如下:
进入‘忘记密码’界面后,选择‘无法接受短信’,这时候会出现两个相关问题:一、在9张图片当中找出你认识的人 ;二、选择与您有关的地址。
只要成功答对这两道问题,就可以重置该支付宝账号的密码,并且在登录后可以正常使用免支付密码的快捷支付功能,直接使用对方支付宝中的资金。
很快,随着该消息在朋友圈内的传播,越来越多的人表示自己收到支付宝登录验证短信,以及相关的账号异常提醒,许多人开始用身边朋友的支付宝账号来尝试复现该漏洞。有人表示,周围已经有不下十人成功登录了身边朋友的支付宝账号,甚至有网络安全高手也中招了,由此他判断此次问题可能非常严重。
真实成功率如何?
在对周围朋友的支付宝账号进行了大约7~8 次尝试后,成功重置一位好友的密码,但是在双方十分熟悉,知道对方认识的人、购物记录和家庭住址等情况的前提下实现的。虽然结果确实令人惊讶,但成功率并没有网上说的那么夸张——“陌生人有五分之一的机会登录你支付宝,熟人有百分之百的机会登录你的支付宝”。
在测试中我们发现,两个测试题会随机出现“你认识的人”、“和你相关的地址”、“你曾经买过的东西”等不同的问题,只要答错一两次,该种方式就会被屏蔽,只允许使用其他方式找回密码,并且其他的方式也会在尝试失败后逐渐被屏蔽,这似乎触发了支付宝的某种安全机制。
在多次试验后,发现自己无论使用谁的支付宝账号,都无法再使用之前那种通过相关信息来重置密码的方式。至上午10点左右,周围不少在测试该漏洞的朋友也表示自己测试失败,只有在自己的常用设备下才能触发相关消息找回。有安全从业者表示:“支付宝响应很快,据说目前已经对风控进行了调整。”
随着互联网金融的兴起,网上支付的安全问题越来越受到网友重视。而作为主流支付工具,支付宝并不是第一次被爆出支付安全问题。在此提醒广大网友,如突然收到支付宝发来的验证码短信,说明有人尝试登录你的支付宝账号,请立刻进入支付宝客户端,点击【我的】→【账户】→【设置】→【安全中心】→【急救包】→【快速挂失】,阻碍任何人登录你的账号,并且阻止资金的转入转出。
支付宝官方回应
至上午11点50分左右,支付宝官方微博发出声明,对此次事件进行了公告,全文如下:
虽然目前蚂蚁金服方面尚未给出具体的风控手段解析,但据雷锋网了解,支付宝风控和阿里聚安全应用了同一套技术基础,据此,可以判断支付宝也应用了以下风控手段:
对于支付宝的所有的验证登录数据,都会被收录到风险信息库中。每一个风险用户和背后的手机、邮箱、IP地址、身份证号都会被记录在案。
对于每一台登录支付宝的设备,风控措施都会为了给设备定义一个独特的指纹,系统会收集多维度的信息,例如:
App的基本信息:其中包括 App 的名称、版本等,也包括集成 SDK 的版本信息。
设备信息:包括设备的名称、型号、系统、IMEI号、MAC地址。(iOS 设备只能获取部分信息)
网络信息:wifi、4G等参数。
公开的接口信息:例如软件ID、开发者ID。
根据以上信息综合算出设备的“指纹ID”。这个 ID 相当于设备的身份证。当硬件发生变动时,只要改动的部件低于一定比例,仍会被认定为是同一台设备。
根据支付宝的公告,目前已调整风控等级,支付宝的风控措施会在背后判断根据以上的设备指纹来判断是否是用户的常用设备,用户仅仅在自己的设备上才能使用相关信息才能使用“相关信息验证”的方式来登录。
因此,现在已经不必再着急解绑自己的银行卡了,更重要的应该是,看好自己的手机!
