支付宝漏洞为何引发如此恐慌？ - iDoNews
> 支付宝漏洞为何引发如此恐慌？
支付宝漏洞为何引发如此恐慌？
maomaobear
近日，支付宝的密码修改漏洞引发了公众关注。有网络媒体爆出，掌握你一些信息的熟人可以轻易利用你的信息登录你的支付宝，甚至陌生人也有可能在任何时间任何地点登录你的支付宝，转移你的资金。消息一出，引发了恐慌，因为支付宝除了余额，还有借呗、花呗等信用消费功能，转移走支付宝的资金并不能保障安全，这让大众非常震惊。好在支付宝反应还算迅速，在1月10日上午迅速做了功能升级，不再允许陌生人通过验证个人信息的方式修改密码。这次问题是怎么发生的?支付宝的产品经理犯了什么错误呢?我们来看一下。一、 我们的资金安全是如何被保障的以前，人们的财产都兑换成黄金、白银放在家里。后来有了银行，人们把钱存到银行里面。银行在电子化之前，验证方式是真人携带证件到场，核对人与证件。在电子化之后，有了银行卡。安全的核心就变成了银行卡与密码的双验证。对用户来说，在开通网上支付之前，只要银行卡不丢，密码不泄露，存款就不会有损失。无论其他人知道用户多少信息，对用户如何了解，只要拿不到卡，拿不到密码就无计可施。而银行卡的挂失需要本人携带身份证到柜台，这又是一个很难绕过去的身份验证。这套体系保障了我们的资金安全。而到了互联网时代之后，情况发生了变化。银行开通了网上银行业务，其他人不需要你的卡，只要知道你的卡号和密码也能支取你的资金。密码是私密信息，但卡号不是，卡号虽然不是到处都可以看到，但是要刻意去查并不困难。以前银行卡与密码的双重保障，就变成了密码的单加密，用户的资金完全依赖于密码，这无疑是不安全的。于是，银行又搞出来手机验证，在预留手机的情况下，把手机与银行卡一样，视为个人物品，用手机验证码做了一个双重安全保障。这样，网络支付，还是密码、手机验证双重保障，如果密码泄露或者手机丢失，都不会造成资金安全的损失。大部分账户的资金安全都是这样被保护的。二、 网络支付的问题最初，像支付宝这样的网络支付安全体系与银行是类似的，也是密码和手机的双重保护，区别仅仅是手机短信，变成了手机APP。用户如果手机丢了，捡到手机的人不知道密码，进不去支付宝，甚至连支付宝的账户名都不知道(当时支付宝的账户名还是电子邮件注册。)而随着业务的发展，网络支付为了快捷方便，安全方面的监管越来越松。先是复杂密码给支付宝强制改为简单密码，然后登录的图形加密被取消。支付宝和微信支付甚至开通的银行快捷支付，只要关联上，你的银行卡可以直接付款，银行的加密过程被绕过去了。如果你在支付宝或者微信支付绑定了银行卡，就等于你所有财产都依赖于支付宝或者微信支付的体系。而支付宝和微信支付的体系不如银行那么强，它们没有线下柜台身份验证来解决丢失密码或者手机的问题。对于忘记密码、丢失手机，支付宝想出来的解决办法是用个人信息来重设密码，这就出现原则性的错误。三、 支付宝的原则性错误支付宝这次引起恐慌，是因为密码能被绕过。用户忘记密码，支付宝给的解决办法是手机短信验证，这个问题不大，类似于密码、手机双保障中丢了一个，用另外一个去验证。但是，在手机不方便接收短信的时候，支付宝给的另外一条路问题就很大了。对于银行来说，卡丢了，密码不知道，带着身份证本人去柜台验证，这是安全的。而支付宝想的办法是，你可以属于身份证号来验证，你可以选择最近购买的东西，选择你认识的人来验证，可以输入银行卡号来验证。然后就可以把原来的密码给改了。这个想法犯了原则性的错误。密码是私密信息，手机是个人私密物品。但是身份证号不是私密信息，而是公开信息，很多地方会留身份证，银行卡号也类似;最近购买了什么东西也不是私密信息，从淘宝卖家到送货小哥，从同事到朋友圈的朋友都会知道;认识的人更不是私密信息，特别是支付宝涉足社交的情况下，你认识的人，你的同事同学邻居都可能认识。最后的结果就是，只要掌握一个人公开的，半公开的非隐私信息。这个人的支付宝密码、手机验证码就都可以绕过去了，这太可怕了。按照支付宝现在的安全体系和中国现在的个人信息隐私情况。一个人随随便便查几万人的支付宝，改登录密码都是正常的。密码丢失、手机丢失不能登录支付宝。要做的是暂时封掉账户，等待用户去电信部门补办手机卡之后再开通。而不能允许用户仅仅凭借一些公开信息就修改密码，开通支付宝的所有功能。这个原则性错误必须尽快弥补。作者：maomaobear | 来源：iDoNews 专栏
正在加载......【支付宝现重大漏洞】真相真的有网上说的那么夸张吗？ - 至诚财经
【支付宝现重大漏洞】真相真的有网上说的那么夸张吗？
　　====推荐阅读=====
　　=====阅读全文=====
　　()01月18日讯
　　支付宝曝光重大漏洞：真相解密 并不骇人听闻 雷锋网编辑在上班路上忽然收到了一条支付宝验证码的短信，察觉到异常后立刻打开了支付宝客户端，结果被吓出了冷汗：
　　他发现自己的支付宝账号竟正被别人登录，随即他收到一条朋友发来的微信消息：
　　我刚才用网上流传的&支付宝致命漏洞&来重置你的登录密码，竟然成功了!你还不知道吗?朋友圈都传开啦!
　　支付宝漏洞?编辑随即打开朋友圈，发现已经有很多网络安全圈内的朋友都转了一条名为&支付宝惊现致命漏洞，快解绑你的银行卡&的报道。
　　报道中称，有网友发现支付宝在登录方式上存在致命的逻辑漏洞，导致熟人之间可以相互登录对方的支付宝账号，流程大致如下：
　　进入「忘记密码」界面后，选择「无法接受短信」，这时候会出现两个相关问题：一、在9张图片当中找出你认识的人 ;二、选择与您有关的地址。
　　只要成功答对这两道问题，就可以重置该支付宝账号的密码，并且在登录后可以正常使用免支付密码的快捷支付功能，直接使用对方支付宝中的资金。
　　很快，随着该消息在朋友圈内的传播，越来越多的人表示自己收到支付宝登录验证短信，以及相关的账号异常提醒。许多人开始用身边朋友的支付宝账号来尝试复现该漏洞。
　　有人表示，周围已经有不下十人成功登录了身边朋友的支付宝账号，甚至有网络安全高手也中招了，由此他判断此次问题可能非常严重。
　　真实成功率如何?
　　编辑在对周围朋友的支付宝账号进行了大约7~8 次尝试后，成功重置了自己女朋友的支付宝密码，这是在双方十分了解，知道对方认识的人、购物记录和家庭住址等情况的前提下实现的。虽然结果确实令人惊讶，但成功率并没有网上说的那么夸张&&&陌生人有五分之一的机会登录你支付宝，熟人有百分之百的机会登录你的支付宝&。
　　在测试中我们发现，两个测试题会随机出现&你认识的人&、&和你相关的地址&、&你曾经买过的东西&等不同的问题，只要答错一两次，该种方式就会被屏蔽，只允许使用其他方式找回密码，并且其他的方式也会在尝试失败后逐渐被屏蔽，这似乎触发了支付宝的某种安全机制。
　　【验证失败后验证方式会发生变化】
　　在多次试验后，编辑发现自己无论使用谁的支付宝账号，都无法再使用之前那种通过相关信息来重置密码的方式。
　　至上午10点左右，周围不少在测试该漏洞的朋友也表示自己测试失败，只有在自己的常用设备下才能触发相关消息找回。有安全从业者表示：&支付宝响应很快，据说目前已经对风控进行了调整。&
　　支付宝官方回应
　　至上午11点50分左右，支付宝官方微博发出声明，对此次事件进行了公告，全文如下：
　　虽然目前蚂蚁金服方面尚未给出具体的风控手段解析，但据记者了解，支付宝风控和阿里聚安全应用了同一套技术基础，据此，可以判断支付宝也应用了以下风控手段：
　　风险信息库
　　对于支付宝的所有的验证登录数据，都会被收录到风险信息库中。每一个风险用户和背后的手机、邮箱、IP地址、身份证号都会被记录在案。
　　设备指纹
　　对于每一台登录支付宝的设备，风控措施都会为了给设备定义一个独特的指纹，系统会收集多维度的信息，例如：
　　& App的基本信息。其中包括 App 的名称、版本等，也包括集成 SDK 的版本信息。
　　&设备信息。包括设备的名称、型号、系统、IMEI号、MAC地址。(iOS 设备只能获取部分信息)
　　&网络信息。wifi、4G等参数。
　　&公开的接口信息。例如软件ID、开发者ID。
　　通过以上信息综合算出设备的&指纹ID&。这个 ID 相当于设备的身份证。当硬件发生变动时，只要改动的部件低于一定比例，仍会被认定为是同一台设备。
　　根据支付宝的公告，目前已调整风控等级，支付宝的风控措施会在背后判断根据以上的设备指纹来判断是否是用户的常用设备，用户仅仅在自己的设备上才能使用相关信息才能使用&相关信息验证&的方式来登录。
　　因此，现在已经不必再着急解绑自己的银行卡了，更重要的应该是，看好自己的手机!经验663 米
在线时间28 小时
版本V8.2.3.0.KHDCNDL
积分 682, 距离下一级还需 1318 积分
积分 682, 距离下一级还需 1318 积分
机型红米Note WCDMA版
MIUI版本V8.2.3.0.KHDCNDL
本帖最后由 luyisa0108 于
17:36 编辑
& &第一次使用支付宝，手机桌面上的“支付宝钱包（版本 8.2.0.091103）”不知怎么了总是快闪一下，而且进不去。但是在手机桌面搜索找到后点击就能进入、应用商店中点击“启用”按钮也能打开，为什么？（在”安全中心“的应用信息中清除数据了，还是不行！）怎么操作才能使桌面上的支付宝钱包单击也能进入。
分享到微信朋友圈
打开微信，点击底部的“发现”，使用 “扫一扫” 即可将网页分享到我的朋友圈。
经验1772 米
在线时间36 小时
版本V7.2.1.0.KHECNDA
积分 2049, 距离下一级还需 2951 积分
积分 2049, 距离下一级还需 2951 积分
机型红米Note TD版
MIUI版本V7.2.1.0.KHECNDA
重新安装一次
经验4340 米
在线时间240 小时
版本6.12.1
积分 5615, 距离下一级还需 14385 积分
积分 5615, 距离下一级还需 14385 积分
机型小米手机4c
签到次数76
MIUI版本6.12.1
通过手机发布
这个，你在应用程序里找到支付宝，清楚数据和缓存试试
经验663 米
在线时间28 小时
版本V8.2.3.0.KHDCNDL
积分 682, 距离下一级还需 1318 积分
积分 682, 距离下一级还需 1318 积分
机型红米Note WCDMA版
MIUI版本V8.2.3.0.KHDCNDL
本帖最后由 luyisa0108 于
15:53 编辑
从未对支付宝操作过，这是怎么回事呀？
经验663 米
在线时间28 小时
版本V8.2.3.0.KHDCNDL
积分 682, 距离下一级还需 1318 积分
积分 682, 距离下一级还需 1318 积分
机型红米Note WCDMA版
MIUI版本V8.2.3.0.KHDCNDL
本帖最后由 luyisa0108 于
17:33 编辑
仔细想想，好像已经重装过一次了，怎么又这样。下次不会还得卸载后重装吧。
高手指点一下，不要做什么操作就不会再次出现打不开的问题。
经验12403 米
在线时间238 小时
机型红米Note3 全网通
签到次数100
MIUI版本7.9.4
经验59864 米
威望410 米
在线时间2492 小时
急用户所急，想用户所想
机型小米手机5
签到次数206
MIUI版本7.9.4
在应用程序里面，清除支付宝的数据试一下
已关注微信
关注腾讯微博
已关注腾讯微博
关注新浪微博
已关注新浪微博
已关注极客秀微信
MIUI6 荣誉勋章
MIUI6 荣誉勋章
MIUI七夕鹊桥勋章
MIUI七周年
MIUI 9纪念勋章
MIUI 7纪念勋章
MIUI五周年
MIUI五周年纪念勋章
小米众筹2周年
参加回帖活动
小米7周年勋章
2017米粉节晒单赢专属勋章
“澎湃S1 ”芯片纪念勋章
参与活动回帖可得
参与红米Note 4X活动
2017年小金鸡勋章
回复2016年度评选活动贴
APP 1000万
MIUI论坛APP注册用户突破1000万纪念勋章
MIUI 300周
MIUI 300周更新纪念勋章
为奥运加油勋章
为奥运加油勋章
小米六周年
小米六周年米粉节
MIUI 2000万
MIUI 2000万发烧友纪念勋章
1000万用户纪念勋章
MIUI1000万用户纪念勋章
参加流量购买活动
MIUI三周年
MIUI三周年纪念勋章
百万壁纸评审纪念勋章
MIUI V5内测元勋
MIUI V5内测元勋勋章
MIUI 100周
100周发布纪念勋章
MIUI六周年
MIUI六周年纪念勋章
Copyright (C) 2017 MIUI
京ICP备号 | 京公网安备34号 | 京ICP证110507号}