FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
【更新支付宝回应】风控缺陷?支付宝曝“致命”漏洞,他人能改你的密码 kuma2017-01-10共855506人围观 ,发现 41 个不明物体 漏洞资讯
今天,网上曝光支付宝“熟人可以修改登录密码”的“漏洞”。据说“陌生人有1/5的机会登录你的支付宝,而熟人甚至100%可以登录你的支付宝”,而且登录方式并没有什么技术含量。针对此事各个社区已经讨论炸锅,毕竟人们对支付宝的依赖非其他普通应用可比。
不过这个问题到底算不算漏洞,还有待讨论。即便这个所谓的“漏洞”如此粗糙,却的确存在危害性——支付宝修改密码的业务流程还是需要优化。
723109837740558020.jpg
朋友圈截图.jpg
按图索骥,小编也测了下
重置支付宝登录密码的整个过程其实非常简单,小编只花了几十秒就按照网上的“教程”全程操作了一遍:
1. 打开支付宝App登录页面,尝试登录另一小编支付宝账号,点击忘记密码
2. 输入账号后,点击无法接收短信
3. 选择其他验证方式,找回登录密码,比如熟人验证和购买过的商品
4. 可以重置登录密码
IMG_1950.jpg 173787744238952781.jpg
436449795006940834.jpg 355349721322876264.jpg
IMG_1954.jpg
应急处理
1. 转出余额
2. 解除绑定银行卡
3. 关闭小额免密支付:设置-支付设置-免密支付
4. 花呗额度调到最低的500
5. 购买支付宝内置的2元的账户安全险
6. 登录支付宝PC网页版,设置安全问题
7. 支付宝快速挂失(如果突然收到支付宝发来的验证码短信,提示有人尝试登录你的支付宝账号,大家可以立刻进入支付宝客户端,点击【我的】→【设置】→【安全中心】→【急救包】→【快速挂失】。)
不过有知乎网友反馈,挂失不一定有效:
你们以为选择挂失就安全了吗?
支付宝还有一个功能是通过淘宝登陆,对方无法登陆时,可以通过淘宝绑定账户授权登陆,然后一切保护都没有用了
知乎网友讨论
Ef frts.png
惊云.png
孙竟.png
winter.png
专家看法
安全专家云舒表示:
支付宝风控策略出了问题,我并不惊讶。我还在阿里的时候,就跟他们在邮件里面争辩过——他们一直说有风控策略,我说我这里有案例,我们已经攻击成功了,已经有事实了。然而呵呵……
IT界知名人士冯大辉(Fenng):
支付宝安全漏洞,朋友圈不下十个人说自己试了一下就可以,这些都是普通用户,然后看到一个安全高手也中招了,已经基本可以判断问题其实很严重。
但也有以前老同事说没事,支付宝有安全防护机制,可那都几年前的规则了啊…
人不能只靠经验。
FreeBuf还将对此消息做进一步追踪和更新…
【Updating…】
[12:50] 支付宝官方(蚂蚁神盾局)已对此事件作出回应:
支付宝回应.jpg
[11:45] 有网友反馈,支付宝官方发出修改密码的通知邮件:
支付宝邮件.jpg
[11:15] 当前,我们再进行测试,发现已经没有“熟人验证”,只有“银行卡号验证”和“电话验证”。
[1月10日11:00] 来自网易的消息,支付宝目前正在核查该问题。
* FreeBuf官方报道,作者:Kuma,转载请注明来自FreeBuf.COM
kuma
kuma
53 篇文章
等级: 6级
||
上一篇:ODNI最新报告:干涉美国大选的黑客活动就是普京“下令”发起的下一篇:美国联邦贸易委员会与D-Link撕上法庭,称其路由器安全性太差
这些评论亮了
hkt (2级)403-Forbidden回复
逼乎上有人说的好,因为支付宝能发现安全问题的专家都已经因为价值观问题被辞退了...手动摊手。
)48(亮了
difcareer (3级)我在简书上发起了一个Android安全专题,分为很多个子专题...回复
这个问题明显不是官方说的特定情况才出现,应该是一开始都是这样,官方后台验证了一下确实如此,赶紧上几条风控策略,然后对外宣布只有特定场景才可以,后面来的人去试,发现还真有验证了,以为自己是安全的
)37(亮了
raistlin00 (5级)回复
@ DDvv 说明你老婆很早就掌握了这种技术
)33(亮了
AvdelGp 回复
支付宝是啥 
)31(亮了
小白人人人 回复
@ hkt 未经许可禁止转载,这个下面又可以分享,那到底可不可以分享到盆友圈?
)28(亮了
发表评论已有 41 条评论
AvdelGp 2017-01-10回复 1楼
支付宝是啥
亮了(31)
1111111111 2017-01-10回复 2楼
竟然没人说话?
亮了(24)
addison66 (4级) 大奶萌妹请私聊我 2017-01-10回复 3楼
呵呵,早已解绑
亮了(24)
酱油哥哥来巡山 (1级) 2017-01-10回复 4楼
这个有点叼
亮了(24)
130.0 2017-01-10回复 5楼
自测成功
亮了(23)
raistlin00 (5级) 2017-01-10回复
@ 130.0 为啥试了2次都没出这个熟人和买东西验证,是不是随机的?
亮了(23)
130.0 2017-01-10回复
@ raistlin00 个人认为支付宝的风控策略就是取消熟人验证,采用银行卡或者电话验证。要不然都快2小时了,支付宝这么大不会没任何措施的。
亮了(23)
红茶不加糖 (2级) 2017-01-10回复 6楼
我试了下用我手机去重置别人的,都是没有出现两个选择图片的选项的,都是要眨眼,或者银行卡验证或者电话验证,只有测试自己的可以,这难道就是阿里说的策略?
亮了(22)
bimeover (6级) 膜导师学徒 2017-01-10回复
@ 红茶不加糖 我试下来也是这样。没毛病啊
亮了(23)
FreeDebug (1级) 2017-01-10回复
@ 红茶不加糖 这个应该也和账户本身的安全设置有关,或者就如支付宝说的,和修改密码的网络安全系数相关====不知道怎么定义的
亮了(25)
hkt (2级) 403-Forbidden 2017-01-10回复 7楼
逼乎上有人说的好,因为支付宝能发现安全问题的专家都已经因为价值观问题被辞退了…手动摊手。
亮了(48)
DDvv (4级) bigpig 2017-01-10回复 8楼
刚好12月20多号的时候用这种方式找过密码,但是居然失败了!在选择买过的东西的时候就被卡住了。因为没有一样东西是我自己买过的,全是老婆买的。这说明了什么问题?
亮了(25)
raistlin00 (5级) 2017-01-10回复
@ DDvv 说明你老婆很早就掌握了这种技术
亮了(33)
ff111 2017-01-10回复 9楼
哪个龟儿子想的这样一个功能
亮了(24)
xxx 2017-01-10回复 10楼
借呗 花呗 是要支付密码的好不好,小编到底试了没???
亮了(22)
dddd 2017-01-10回复 11楼
只有在常用设备上才能测试成功
亮了(24)
xuanyun (1级) 2017-01-10回复 12楼
我想问一下,陌生人的1/5是怎么算出来的?
亮了(20)
紫霞仙子0x5e 2017-01-10回复 13楼
都是据说,哈哈哈
亮了(20)
矮穷龊-陆羽 2017-01-10回复 14楼
1/5概率如何统计
亮了(19)
中国足球 2017-01-10回复 15楼
?
亮了(20)
亲爱的 2017-01-10回复 16楼
如果自己的手机登入过支付宝才会这样吧?拿着别人的帐号从未登入过的也会这么简单找回?反正我不是,因为我是亲爱的。
亮了(20)
小白人人人 2017-01-10回复 17楼
@ hkt 未经许可禁止转载,这个下面又可以分享,那到底可不可以分享到盆友圈?
亮了(28)
jinx (1级) 2017-01-10回复 18楼
登录其他人的帐号是需要身份证号的好不好
亮了(18)
Venscor (2级) 2017-01-10回复 19楼
银行卡验证和身份证号码验证就安全了吗?!!!这些数据裤子里面一大堆,据说还价格低廉!!出了安全问题不可怕,重要的是体现企业良心,不是帅锅。希望支付宝尽快响应,不要把重点放在什么“熟人”上。。。
亮了(19)
mach 2017-01-10回复 20楼
拿着钱包跟别人聊天。。。傻X宝~
亮了(20)
acjoker 2017-01-10回复 21楼
等等, 交易的话不是需要支付密码?
难道登陆密码可以在不验证支付密码的情况下, 修改支付密码?
亮了(17)
95_cn 2017-01-10回复 22楼
还是Paypal稳妥妥的
亮了(14)
41eX_ 2017-01-10回复 23楼
转发微博
亮了(14)
Lancelot-Fu (1级) 2017-01-10回复 24楼
我记得有个dalao说过安全的实质是信任问题
亮了(15)
华为未然实验室 (4级) 未然实验室是华为网络产品线下属专业安全团队,实验室聚焦主流攻... 2017-01-10回复 25楼
没有支付密码还不是然并卵? 呵呵!
亮了(15)
ak6666 (1级) 2017-01-10回复 26楼
支付宝根据IP地址 机型 一些因素综合判断
5分之1应该是不可能的
亮了(16)
deep4ox (3级) 2017-01-10回复 27楼
图样啊,你们知道支付鸨靠着这一波成功卖出了多少份账户安全险。 
亮了(19)
difcareer (3级) 我在简书上发起了一个Android安全专题,分为很多个子专题... 2017-01-10回复 28楼
这个问题明显不是官方说的特定情况才出现,应该是一开始都是这样,官方后台验证了一下确实如此,赶紧上几条风控策略,然后对外宣布只有特定场景才可以,后面来的人去试,发现还真有验证了,以为自己是安全的
亮了(37)
乔不死 2017-01-10回复 29楼
那你们都别用啊,搞安全的连是不是漏洞都分辨不出来,还搞个锤子
亮了(16)
小米粒大人 2017-01-10回复 30楼
前段时间丢了手机,然后修改了绑定手机,发现可以修改,好像也是图片验证来着
亮了(14)
今天又淌鼻涕了 2017-01-10回复 31楼
十点二十大家都开始讨论,十点三十七就测试失败了。。。
支付宝的动作也是快的没谁了
亮了(16)
蒲公英的幻想 (1级) 2017-01-10回复 32楼
:sad: 
亮了(15)
global_hacker (4级) 2017-01-12回复 33楼
这是要打脸的节奏吗
亮了(9)
jin16879 (3级) 2017-01-13回复 34楼
我也验证成功,支付宝所需要的身份信息,都很容易获取。
亮了(6)
海世 (1级) 2017-01-31回复 35楼
@ 小白人人人 转载是转载 分享是分享。分享是把这个网址分享出去,转载是重新建一个网址把原来的内容添进去。
亮了(0)
xiao_6727 (1级) Nothing is difficult if you pu... 2017-02-03回复 36楼
现在支付宝忘记密码是用人脸识别的,如果说存在BUG的话,可不可以使用其他人脸去实现?
亮了(2)
昵称
请输入昵称
必须您当前尚未登录。登陆?注册邮箱
请输入邮箱地址
必须(保密)表情插图
有人回复时邮件通知我
kuma
kuma
See you in another life.
53
文章数
4
评论数
最近文章
【快讯】洲际酒店集团二度遭遇信用卡数据泄露,超过1000家酒店受影响
2017.04.20
专注“钓鱼人防”:安全新星企业PhishMe浅析
2017.04.19
2017 OWASP Top 10十大安全漏洞候选出炉,你怎么看?
2017.04.16
浏览更多
相关阅读
每个账户1 – 5美元:Uber账户和密码正在“暗网”黑市售卖[EXP]Solarwinds Storage Manager 5.1.0 Remote SYSTEM SQL Injection对自助提卡系统的一次代码审计揭秘2017网络黑产四大新趋势,威胁源全方位袭来php.net可能遭黑客入侵,Google将其列为恶意网站
特别推荐
关注我们 分享每日精选文章
活动预告
11月
FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月
【16课时-连载中】挖掘CVE不是梦(系列课程2)
已结束
10月
【首节课仅需1元】挖掘CVE不是梦
已结束
9月
【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank
文章评论