重磅 | 惊曝巨大漏洞！阿里这一天到底发生了什么
2017/1/11 价值线

    

    来源｜价值线综合猫财经(maocaijing)、每日经济新闻(nbdnews)、中国新闻网、南方都市报等

     编辑｜价值线 蕾蕾

     阿里这一天到底发生了什么?

     正当富可敌国，背后有数亿女人的“马爸爸”亲临金光闪闪的特朗普大厦的新闻满天飞时，一条“熟人可重置支付宝密码”的消息引爆网络，让人惊出一身冷汗。

    

     起因是有网友爆料称，“支付宝存在一个新漏洞，陌生人有机会登录你的支付宝，熟人有100%的机会登录你的支付宝。”

    

     这个漏洞是真的吗？

     按网友的说法，登录过程如下：登录手机账号——忘记密码——手机不在身边——淘宝买过的东西9张图片选1个——好友验证9个好友图片选1个——登录成功。

    

    

    

    

    

    

    

     小编按照上述步骤测试了一下，的确可以轻松改密登录，并完成付款。

     不过，这个套路只在第一次选择忘记密码时适用，第二次忘记密码后只能通过以下四种方式重置密码。

    

     但是像身份证号码这类信息，并没有什么隐私可言。公司人事部门、银行、旅行社，甚至房地产中介可能都存有我们的身份证信息。一向标榜安全支付的支付宝，这次打脸了。

     支付宝回应：上诉情况仅在特定情况下实现，目前已提高用户安全等级

     针对上述情况，支付宝回应称，目前已经进行改进，提高了风控系统的安全等级。目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。

    

     有互联网从业人员表示，这属于P0级漏洞并给出了一些补救方式——

    

     而有朋友进一步爆料称，除了支付宝找回密码漏洞外，好友通过你的手机找回淘宝APP密码更易如反掌……

     如果亲朋好友或陌生人拿到了你的手机(同一设备)，打开淘宝APP，选择“找回密码”，不需要短信或问题验证，即可随时重置密码……

    

    

     疑似阿里员工回应：10天前就在内网反馈过了，但支付宝的人表示情况没那么糟!

     针对以上帖子爆料的问题，在帖子下方有疑似阿里内部员工进行回复称：早在10天前就在内网反馈过了，后来支付宝的人解释了一下情况没大家想的那么糟。

    

     对此，上海交通大学密码与计算机安全实验室 (LoCCS) 安全研究团队指出，基于相关用户信息的密码重置方案尽管在特定场景下存在攻击面，但是攻击者的攻击窗口受到实际情况限制较大，且在完成登陆后再进行针对用户财产的操作会被支付密码进一步限制，因此很多现有评估存在对安全威胁的夸大描述。

     那我们要注意和做什么……

     1、保管好自己的手机

     2、开启短信验证并随时留意

     3、发现异常登录、异常交易，第一时间打开支付宝急救包

    

    

     此次安全风波过后，网友对支付宝提出了“严肃”批评，支付宝也表示了非常高的觉悟：

    

    

    

    http://weixin.100md.com
返回 价值线 返回首页 返回百拇医药