乌云于昨天爆出支付宝登陆漏洞，支付宝余额宝还安全吗？
乌云于 2014 年 02 月 17 日爆出支付宝登陆漏洞，该漏洞会对用户余额宝产生怎么样的影响或者是危害？
Evi1m0，来自知道创宇，邪红色信息安全组织创始人
今天（2014 年 2 月 17 日）下午，互联网安全警报被 Wooyun 平台上一则名为《淘宝认证缺陷可登录任意淘宝账号及支付宝（我的余额宝撒）》的漏洞一炮打响，一时间各 BBS、微博、微信、QQ 群展开火热的讨论，很多人表示关心自己支付宝是否安全？有的白 / 黑帽子则更是关心漏洞的细节以及漏洞利用情况。
首先回答大家最关心的问题，网络支付还安全吗？
当然今天所看到的只是某个漏洞提前曝光在了大家眼前，至于支付是否安全，我觉得这得需要服务提供商（公司）和用户共同来铸造，单方面安全总是不行的。密码全部是弱口令、123456、iloveyou123、qq123123 的账户，你怎么样守护他的安全？系统打好补丁，别上小网站下载乱七八糟的应用，先保证自己电脑以及安全意识没有那么低下，剩下的安全就交给服务提供商来做吧！好在近几年国内厂商安全意识有所提高。
这个问题只是网络安全漏洞世界中的冰山一角，为什么大家会那么关心这个问题，好多朋友甚至私信、短信我问这个问题？
其实说起来也很简单，因为这个问题威胁到他的个人财产了。国内网民安全意识普遍低下的今天，你不拿出点能够威胁到他们金钱利益的东西他们是不会害怕的，比如他的论坛密码泄露？通知他说：“你某论坛密码泄露了，修改一下吧”他会很无所谓的告诉你：“泄露就泄露吧，反正没多大事，实在不行重新注册一个”
爱财之心，人皆有之。这个漏洞引发了不少人的恐慌，好在我支付宝没绑定银行卡，余额宝更是没有钱，索性好好的分析一下这个漏洞的详细情况。
漏洞详情？威胁究竟如何？
下午 14:20 Wooyun 平台上爆出这个漏洞，截止到 16:00 已经修复，当然大家不知道这个漏洞也许存在并被利用很久了，前面说过了，只是浮出水面的一角。
14:25 分的时候我收到一封来自这里姑且称之为“L”的邮件，提供给了我漏洞详情，称漏洞快被修复了让我拿来研究一下，看完之后真是娇躯一震。
邮件内容只有一句话：site: inurl:login_by_safe, about wy. L
但是就是这样一句话，想必就是白 / 黑帽子梦寐以求的东西，现在漏洞已经Fix，当然这篇文章全文都是我编的，不用太在意。
后面就好办了，于是我们进行的简单的 GoogleHack：
/member/login_by_safe.htm?sub=&guf=&c_is_scure=&from=tbTop&type=1&style=default&minipara=&css_style=&tpl_redirect_url=&popid=&callback=jsonp97&is_ignore=&trust_alipay=&full_redirect=&user_num_id=*********&need_sign=&from_encoding=%810%851_duplite_str=&sign=&ll=
上面就是结果页的 URL，写到这里我有点儿编不下去了，便把 user_num_id 的值打了星星符号，这个漏洞是这样的，搜索出来的结果我们点击进去之后会自动进入对方的淘宝账户，再从淘宝可以跳到支付宝，当然不需要登录。
于是后面我又把这个 URL 进行了“分解”：
/member/login_by_safe.htm?sub=&guf=&c_is_scure=&from=tbTop&type=1&style=default&minipara=&css_style=&tpl_redirect_url=&popid=&callback=jsonp97&is_ignore=&trust_alipay=&full_redirect=&user_num_id=*********&need_sign=&from_encoding=%810%851_duplite_str=&sign=&ll=
后来又对比了几个，发现其中不同的仅是 callback 与 user_num_id，callback 不用理睬，也就是我们可以通过遍历 user_num_id 便能登陆任意账户。
其实一旦支付宝账户像这样的方式泄露，用户的物理位置、手机号、姓名以及很多隐私都会大量泄漏，哎，这事又怪不得用户。不过阿里这次能给国内网民提个醒，注意注意安全！当然有好多朋友提出这样的疑问：“他又不知道我的转账密码，所以还是没问题啊，一点儿表示不担心”。像遇到这种人只能笑而不语，其实支付宝是有个小额免密的功能的，那么大数据用户面前来几百万个小额免密的用户，黑产小伙们就笑了。
哦，对了，不知道黑产小哥们玩了多久这个漏洞了。
类似的漏洞有没有？
下午 redrain（信息安全爱好者）和我聊天中说想起去年 2 月份左右支付宝出现过类似越权限的漏洞，但没有今天如此严重，还好留下两张历史图片：
其实这种漏洞在某些地方还是蛮多的，如果你认为所有漏洞都会披露到互联网水面上，那就太天真了。
支付安全中另外一种很常见的攻击手法就是钓鱼了，这种钓鱼普遍发生在高档咖啡厅，黑客采用定点攻击，搭建 WIFI 热点让其用户连接监听用户所有流量包进行劫持，这两天会发表一篇关于 DNS 劫持的文章，他们之间有异曲同工之妙的联系。
16:40 分时，淘宝网壕风雄震在新浪微博致谢漏洞挖掘者 5W 元人民币：
甲方公司这样的态度令人称赞，让我们共同呼吁铸造安全互联网！
说到底，用户怎么样才能保证自己的支付安全？
1、开启短信验证码支付2、手机支付的话开启手势支付3、绑定数字证书4、不链接陌生的 Wifi5、使用复杂密码（重要网站使用独立密码）6、没有必要的话手机不要越狱或者 Root7、...
安全是一个整体，单线安全注定不安全，这就需要服务商与我们共同的安全意识。
对了，刚刚“L”发给了我一张图：支付宝现重大漏洞|支付宝漏洞事件已过 支付宝到底安不安全？ - 互联 - 至诚财经网
至诚-中国金融理财门户网站
支付宝漏洞事件已过 支付宝到底安不安全？
　　====推荐阅读=====
　　=====阅读全文=====
　　()01月19日讯
　　支付宝频现安全漏洞 支付宝到底安不安全?具体详细内容小编为你报道。
　　1月10日，有网友惊讶地发现支付宝可以更改别人的密码，甚至不用输入原密码，只要有被篡改人的手机号码即可，这对广大支付宝用户的财产安全无疑造成了不小的威胁。
　　按照该网友的说法，支付宝的漏洞原理如下：支付宝APP登录&&选择&忘记密码&&&选择&手机不在身边&&&这时支付宝会让你选择&淘宝买过的东西&(9张图片选1个)&&&你可能认识的人&(9个好友选1个)&&如果选择对就可以重置密码，且成功率较高。
　　支付宝随即作出回应：&为了更好地提升用户的安全感，在接到网友反映后，我们进一步提高了风控系统的安全等级。&
　　其在官方声明中称，这一方式仅在特定情况下才会实现。在通常情况下，用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或更换移动设备的用户，支付宝的风控系统会先进行评估(比如账户信息完整程度、网络环境等)。在安全系数较高的情况下，才让用户回答一系列安全问题，只有在回答正确后，才能修改登录密码。
客户投诉：
市场商务：
广告合作：QQ:
意见反馈：
工作时间：周一至周五8:30-18:00
公司地址：厦门软件园二期观日路26#404-1&&&&&&财经频道荣誉出品
　　快捷支付用户成为骗子的新目标。近日，媒体频频报道骗子通过盗取用户快捷支付账户密码或骗取验证码，进而转走用户资金的案例。看来，快捷支付虽然让用户的网购操作更加便捷，但安全性却成为一大隐忧。从2011年6月开始，支付宝公司就陆续接到网友投诉，说自己支付宝账户里的钱无缘无故就没了。
　　【用户手机号惨遭补卡 支付宝账户41分钟被盗千元】河南郑州淘宝卖家杨女士的支付宝账户款项不翼而飞。犯罪嫌疑人利用假身份证成功补办杨女士的手机SIM卡，利用淘宝ID和手机号找回支付宝登录密码、支付密码，注销数字证书，随后登录杨女士的淘宝账号将钱转走。从手机被停机，到支付宝账户被盗，再到账户内的金额被转移，整个过程仅用了短短41分钟。
&&&&&&&&【支付宝不要密码竟能被转账 手机验证码被套后“蒸发”两千元】市民王先生反映，骗子通过QQ获知他的银行账号等信息，并索要手机验证码，随后，开通了他的支付宝快捷方式，并转走账户里的2000元钱。他表示，“这支付宝的快捷支付竟然不需要我的网银密码，直接就能从我账户转钱，也太不安全了。”
　　【虚拟产品不需确认收货 被盗帐户损失难追】在淘宝网开店的宋女士在发现支付宝账户里的1600多元钱一夜间全没了。宋女士根据账号的交易信息，查到了钱的去向：有人用她支付宝里的钱，从淘宝一网店购买了十多张价值100元的卓越礼品卡。以往她在做交易时，只有买家确认收货之后，钱款才能打到卖家的账户里。可事实却让她很失望，她打开支付宝后发现，里面的1683元钱已经打到了对方账户里。
　　【快捷支付受关注】从2011年6月开始，支付宝公司就陆续接到网友投诉，说自己支付宝账户里的钱无缘无故就没了。支付宝账户被盗刷的原因多种多样，综观媒体近期的报道，伪造支付宝邮件以及遭到黑客攻击、“钓鱼”网站等问题比较集中。其中，支付宝的快捷支付方式发生的安全问题最受人们关注。
&&&&&&&&【快捷支付不受银行保护】支付宝的客服人员表示，快捷支付是支付宝推出的一项支付功能，为了方便客户，储蓄卡不需开通网银，只要绑定手机就可以在网上交易时使用。记者致电工商银行和邮政储蓄银行。这两家银行的客服人员均表示，客户在使用快捷支付时，不通过银行网银，交易过程不受银行保护。
　　【还需多加安全锁】第三方支付企业责无旁贷。要从技术及服务方面加强保障，确保用户不会因为病毒等因素造成信息流失后的财产损失；最好与银行方面建立合作关系，虽说快捷方式的快捷就是省去了银行卡支付密码的环节，但同时也将银行的保护一起省去了，如果能与银行建立合作关系，也能使得用户的利益得到更全面的保障。
　　【钓鱼网站“青睐”支付宝】中国互联网信息中心（CNNIC）发布报告称，从钓鱼网站模仿对象来看，支付宝的主要依托网站淘宝网以60.4%的比例位居第一位，同时，钓鱼网站普遍出现在支付页面。在第三方支付发展的同时，“钓鱼”网站也是花样百出，一年来，它们的寿命骤降，而且还打起了“游击战”，比如频繁更换域名、网络地址、网站接入地等。
&&&&&&&&【邮箱被攻击 支付宝邮件遭泄露】支付宝用户很多将QQ邮箱作为账号，一旦邮箱被攻击，支付宝交易记录等邮件便会泄露，密码被盗的概率也会更高。另外，支付宝与开通网银功能的银行卡进行绑定，特别是使用快捷支付的方式。一旦支付宝被盗，银行卡中的资金也变得失去保障。
尽管目前支付宝在各方面都制定了相应的赔付制度，也宣称快捷支付的交易方式只需每次都规范的操作，意外基本可以避免，但这样的赔付往往只针对小金额损失，且认定程序一般比较复杂。
　　【绑定银行卡存隐患】支付宝默认与银行卡绑定，容易被不法分子利用。淘宝买家在使用快捷支付后，会默认将卡绑定，对一些电脑不是很精通的大龄买家来说，也不懂得该如何取消绑定，如果是工资卡或者储蓄卡被绑定，而后被不法分子利用漏洞盗走，也会造成不小的损失。支付宝应该给用户一个是否取消绑定的选项，让用户每次使用完快捷支付之后会提高警惕性。
投票与调查
奇虎360首席隐私官谭晓生
《中国第三方网络支付安全调研报告》
支付宝用户
　　一直秉承提供“简单、安全、快速”在线支付解决方案的支付宝应当及时反思，在做到“简单”、“快速”的同时，如何更好的为用户资金的安全做出更好的保障。在无法百分之百保证账户资金安全的情况下，支付宝要负起足够的责任，不要辜负了用户的信任。支付安全的风险更不应当由广大用户来承担。支付宝现重大漏洞，我们该如何升支付的安全性？__理财频道 - 融360
支付宝现重大漏洞，我们该如何升支付的安全性？
支付宝现重大漏洞，我们该如何升支付的安全性？
除了支付平台本身需要加强风控和技术支持，普通用户也需要从自身重视起来，一些看似简单的小操作，可能就会让你免于巨额的财产损失。
　　日，有网友爆出支付宝存在安全漏洞，熟悉你个人有关信息的人可以通过支付宝&找回密码&的功能登录并篡改你的支付宝密码。此消息一出，瞬间引爆朋友圈。
　　据网上流传的方法，在支付宝登录时选择&忘记密码&，然后就可以通过验证个人信息的方式找回登录密码，这个需要验证的信息包括识别支、识别最近购买的物品、真实姓名和身份证号等。有多家媒体指出，经过他们验证，确实存在用此方法绕开支付宝密码登录的漏洞。
　　针对网友和媒体的质疑，支付宝方面及时做出了回应。支付宝方面表示关于回答安全问题登录的方式，是支付宝风控系统评估（比如账户信息完整程度、网络环境等因素）后，在安全系数较高的情况下才能实现；而且这一方法只能找回登录密码，无法找回支付密码；此外，针对此次账户安全问题，支付宝表示已经提高了风控系统的安全等级，目前仅在用户自己的手机上，才能通过识别近期购买商品和好友来找回登录密码。
　　虽然支付宝方面提高了安全等级，但支付账户安全问题一直不容忽视，特别是移动支付安全的问题。除了支付平台本身需要加强风控和技术支持，普通用户也需要从自身重视起来，一些看似简单的小操作，可能就会让你免于巨额的财产损失。
　　首先是设置多重密码保护。移动支付已经较为普及的今天，支付账户安全性的加强首先是要设置多重密码进行保护，包括设置手机开机密码（锁屏密码），支付账户登录密码和支付密码，这些密码最好设置成互不重复且非常规的密码（免得被轻易猜出）。
　　其次，提升安全问题难度。一般账户登录密码找回可以通过回答安全问题，或其他方式与回答安全问题组合来找回，所以用户还需要提升安全问题的难度。系统验证是匹配问题与答案是否对应，所以不用拘泥于答案的真实性，设置你能够记住的非常规答案最好。
　　提前为账户安全购买保险也是一种积极的办法。比如支付宝的账户安全险，对于被保账户密码和安全工具被盗后造成账户资金被盗转、盗用等情况进行赔付，保障额度100万。
　　对于一些有信用额度的账户而言，即使账户内没有现金，也要注意有信用额度被盗用的可能，比如支付宝的花呗、借呗等信用产品，微信等。主动调低授信额度，万一账户真的被盗，也能减少财产损失。
　　前期准备工作做好不等于万事大吉，平时也要多留意手机短信。账户在找回密码时，一般会给绑定的手机发送短信提醒，如果你无缘无故收到此类短信，就需要提高警惕。还有一种情况此前已经发生，就是手机突然间收到大量的验证码，这种情况可能是不法分子故意发送的垃圾短信，意图是掩盖修改密码或解绑手机等安全提醒类短信。
　　此外，还要留意登录支付账户时可能收到的系统提醒。比如&你的账户曾在XX设备上登陆过&，如果非用户本人操作，可能是其账号密码泄露导致，建议尽快修改独立密码和有关关联账户密码。
　　如果账号真的被盗，用户需要在发现的第一时间快速挂失账号，包括抢登账号后修改密码，紧急冻结账号，致电有关支付平台的客服，解绑关联账户并修改关联账户密码。
　　想让骗子无计可施，到微信号：财秘（rong360licai）回复【防骗】获取【防骗宝典】。
文中产品信息
小编推荐：
【独家稿件及免责声明】凡注明 “融360”来源之作品，任何媒体和个人全部或者部分转载，请注明出处（融360 www.rong360.
com)。文章中所载的信息材料及结论只提供用户作参考，不构成投资建议。
暂无评论，需要你第一个站出来表达观点！
Copyright &
Inc. All Rights Reserved. 京公网安备号
融360 - 银行 版权所有}