慧创恒通

最专业的综合性软件外包服务平台

支付宝的账号漏洞和它的回应

发布时间:2017-01-17 14:09:02   发布来源:虎嗅网-假装FBI

如果你的支付宝在你不知情的情况被别人更改了密码,还能免密码支付?请问你的心情如何?


这个问题从昨晚(1月10日)开始,横亘在每一个支付宝用户的心头。据悉,从昨晚开始,有网友反映,只需要几个步骤,你就可以操控别人的支付宝了。这简直堪比科幻大片:


1.打开支付宝登录界面,输入帐号后点击忘记密码

2.输入帐号后直接点无法接收短信

3.这里有很多验证方式,选择你所知道的方式,熟人验证,你知道的朋友信息

4.更改密码,原密码直接忘记,直接更改

5.修改完直接登入账户,拥有全部功能,且支持免密支付


这个问题迅速发酵,随后虎嗅多位同事在第一时间进行了测试,发现目前这个问题已经修复,无法按照上述步骤篡改别人的密码,帮别人花对方支付宝的钱。


在撬动了2016年百度各种问题的第一阵地——知乎上,有网友迅速建立了一个讨论:如何看待支付宝1月10日被曝光的非密码登录模式下可能出现的账户安全风险?


在下面的讨论中,一位自称是阿里员工的网友“winter”说:


这个问题我10几天前就在内网反馈过了,后来支付宝的人解释了一下情况没大家想的那么糟,据说是有环境判断的,/*支付宝同学要求不要说具体安全策略,这段删掉,总之是有环境判断的*/,另外还有支付密码,所以即使盗了最多刷走点小额,以及搞个朋友圈行骗之类的。

支付宝同学认为这不是bug,据说是为了平衡体验和安全性(黑人问号脸),然而支付宝存几十万的我,表示最好是让我生成RSA我自己持有私钥支付宝服务器拿公钥,这样体验最好。


而另一位阿里前员工,显示是“资深网络安全研究人员,默安科技CTO”的网友“云舒”也跟帖称:


支付宝这个,确实有问题,不过上午已经修复了。而且类似的事情,以前就出现过,我还在阿里的时候就跟一个叫jason的SB VP吵过架,我说是漏洞他们team说不是,有邮件为证——当然我现在看不到阿里的邮件了。

我坚信,类似的风控问题还会继续出。首先因为对安全的理念,我们安全人员看案例,他们业务人员看概率。其次,技术发展方向,他们为了使用方便,太信任机器学习模型,太信任基于风控的控制,而忽视了传统技术层面的强控制。


虎嗅就此时联系支付宝的工作人员,对方表示目前正在解决,随后他们给了我一份回应:


我们接到网友反映,称可以通过识别好友、识别近期购买物品,来找回支付宝登录密码。


这一方式仅在特定情况下才会实现。通常情况下,用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户,我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。


这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。


为了更好提升用户的安全感,在接到网友反映后,我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。


我们也欢迎用户继续对我们的安全策略提出意见和建议,我们会根据大家的反馈进一步完善和修正。


但目前最好的办法是,要么你把支付宝里的余额宝里的钱先转到银行卡里,然后将银行卡跟支付宝解绑。同时,建议你修改支付宝密码。


支付宝最近为了刷存在感,也是蛮拼的,远了不说,过去两个月,支付宝制造了不少能够成功引起你注意的话题:


1. 支付宝圈子风波


2016年11月底,支付宝推出了圈子,圈子就圈子呗,非得搞个“白领日记”和“校园日记”,顿时支付宝成了早期的陌陌,各种堪比艳照的美女照片春光乍泄,那段时间它所激发的雄性荷尔蒙估计得论吨计算,浓度堪比前几天的雾霾。


不仅如此,还必须芝麻信用分达到750分才能评论上述的色香味俱全的照片,让那些分数不够的气得胸疼。


这场支付宝圈子引发的讨论一时间铺天盖地,媒体有的坐怀不乱、理性分析,认为这将让支付宝具备社交能力,有的则道貌岸然、指责支付宝下作,甚至引来了官媒的指责。


该风波以“白领日记”和“校园日记”下架、彭蕾道歉才算平息,最后我们知道了,支付宝“圈子”团队负责人被撤职,支付宝事业群总裁樊治铭被调离。


2. 支付宝AR红包漏洞


12月22日,支付宝颠覆了传统的微信红包玩法,借助火热的AR技术,基于地理职位的支付宝AR红包再次成功地引爆了话题,支付宝AR实景红包截图成功打入了微信朋友圈。但很快,就有人发现可以利用一些万能PS技术成功抢红包。


12月24日,支付宝回应称,“确实存在这种低概率的事情”,且支付宝已经对产品进行了升级。


如果你对比支付宝今天对于修改密码的回应,你会发现支付宝的回应有着非常明确的套路:


1、承认存在漏洞或风险,但赌它是小概率事件:“这一方式仅在特定情况下才会实现”、“确实存在这种低概率的事情”……


2、不明确告诉你是否彻底修复了,只是说升级了:“支付宝已经对产品进行了升级”、“我们于今日上午进一步提高了风控系统的安全等级”……


什么时候,支付宝才能重视这些漏洞,重视安全风险,重视用户的资金安全?之前人们基于对支付宝安全的信任,用支付宝来支付生活中的一切,现在你用自己不曾重视的漏洞把人赶到了微信支付和Apple Pay,难道很开心?