1月10日凌晨,微信朋友圈有人爆料支付宝可以 更改别人的密码,甚至可以 不用别人原密码直接用手机号就可以更改 ,只需手机号—点击“忘记密码”等简单操作即可实现。
在前不久,支付宝AR实景红包被曝出存在漏洞,这次再次曝出新的漏洞,很多网友表示担忧。有媒体记者本着真实求证的心态试了试:居然真的可以更改!!!
漏洞是这样的
据说,这个漏洞是这样被实现的:
1、打开支付宝登录界面,输入朋友的支付宝帐号后,点击忘记密码;
2、点无法接收短信;
3、这里有很多验证方式,选择你所知道的方式,比如熟人验证、比如最近购买过的商品、有关的地址等(对于熟悉的人,这些信息很容易选中);
4、重置新的密码;
5、修改完后即可直接登入朋友的账户,拥有了他支付宝的全部功能,且支持免密支付。
修改完直接登入账户,拥有全部功能,且支持免密支付。
来看看多方网友测试的结果——
还真能这么玩?!
连密码都能泄露?!
淘宝卖家有那么多买家账号信息,
假如都可以直接登陆,
后果不堪设想!
网友们也是方了:
支付宝回复:目前已提高用户安全等级
针对上述情况,支付宝官方微博紧急回应称,为了更好提升用户的安全感,在接到网友反映后,我们于今日上午进一步提高了风控系统的安全等级。
目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。
“紧急”解决方案
其实,在用户隐私被泄露严重的今天,支付宝提供的很多重置密码的方法确实容易被不法人士利用。
紧急解决方案:
如突然收到支付宝发来的验证码短信,说明有人尝试登录你的支付宝账号,请立刻进入支付宝客户端。
点击【我的】→【账户】→【设置】→【安全中心】→【急救包】→【快速挂失】,阻碍任何人登录你的账号,并且阻止资金的转入转出。
当然了,还是希望支付宝可以重视产品上的逻辑错误,努力寻找解决方法,从源头上杜绝盗刷等问题!