昨日早些時(shí)候,有網(wǎng)友爆料支付寶存在致命漏洞���,熟人可以輕易登陸你的支付寶賬號(hào),北京時(shí)間對(duì)此進(jìn)行了測(cè)試�����,并聯(lián)系了支付寶相關(guān)負(fù)責(zé)人進(jìn)行求證���。
測(cè)試1:
根據(jù)網(wǎng)友說法��,原理是“登錄手機(jī)賬號(hào)——忘記密碼——手機(jī)不在身邊——淘寶買過的東西9張圖片選1個(gè)——好友驗(yàn)證9個(gè)好友圖片選1個(gè)——登錄成功�。這時(shí)就可以直接掃二維碼付款不用密碼��。”
購買過的商品
北京時(shí)間使用6臺(tái)手機(jī)進(jìn)行測(cè)試:在前5臺(tái)手機(jī)測(cè)試中,均未出現(xiàn)該網(wǎng)友所說的步驟�,即“淘寶買過東西”,所以也就無法實(shí)現(xiàn)后續(xù)“好友驗(yàn)證及登錄”步驟���。
可能認(rèn)識(shí)的人
不過在第6臺(tái)手機(jī)手機(jī)測(cè)試中�����,真的出現(xiàn)了該網(wǎng)友所述的情況�,可以通過“好友買過的東西”�,以及“好友驗(yàn)證”來設(shè)置新密碼。
其它驗(yàn)證方式
這6臺(tái)手機(jī)均使用的是10.0.1版本的支付寶�,但在驗(yàn)證方式上卻出現(xiàn)了不同,似乎是與用戶個(gè)人信息完整度有關(guān)�����。
測(cè)試2:
另一個(gè)原理則是“輸入登錄名——忘記密碼——手機(jī)不在身邊——回答安全保護(hù)問題——修改密碼——登錄成功”�。
北京時(shí)間嘗試登陸一位好友的賬號(hào),首先輸入登錄名后�����,選擇忘記密碼。隨后支付寶對(duì)手機(jī)進(jìn)行了安全檢測(cè)�����,很快便通過了檢���。
這時(shí)頁面顯示出可以通過回答安全保護(hù)問題找回密碼����,出于對(duì)好友很了解����,便很快答上了兩個(gè)安全保護(hù)問題。隨后成功修改了該好友的支付寶密碼并進(jìn)行了登錄��。
除了通過安全保護(hù)答問題可以找回登錄密碼�����,還看到通過“驗(yàn)證本人銀行卡信息”����、“撥打驗(yàn)證電話”的方式也可以找回密碼�����。
隨后北京時(shí)間聯(lián)系支付寶相關(guān)負(fù)責(zé)人,看到對(duì)方在自己的朋友圈曬出了自己的支付寶號(hào)�����,并表示“盡管來試���,能盜走算你的”�����。該負(fù)責(zé)人還對(duì)相關(guān)人士表示���,像“爸爸名字”、“媽媽生日”這樣的信息都是戶口本上才有的很隱私的信息��,并不為大多數(shù)人所知曉����,如果遇到熟人作案可以選擇原諒對(duì)方,或進(jìn)行起訴�����。
以下為支付寶官方回應(yīng):
