煎饼 发表于 2017-1-10 16:54:29

支付宝回应修改密码漏洞:仅在特定情况下才会实现

针对网友曝出的修改密码漏洞,支付宝方面回应称这一方式仅在特定情况下才会实现。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。近日,有网友曝出支付宝存在新漏洞——陌生人有五分之一的机会登录你的支付宝,而熟人则有百分之百的机会登录你的支付宝。按照网友的说法,漏洞的原理是这样的:登录手机账号——忘记密码——手机不在身边——淘宝买过的东西9张图片选1个——好友验证9个好友图片选1个——登录成功。
这时就可以直接扫二维码付款不用密码。已有多位网友亲测,可以成功登录同事、朋友的支付宝账号。
以下为支付宝回应全文:我们接到网友反映,称可以通过识别好友、识别近期购买物品,来找回支付宝登录密码。这一方式仅在特定情况下才会实现。通常情况下,用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户,我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。为了更好提升用户的安全感,在接到网友反映后,我们也进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。我们也欢迎用户继续对我们的安全策略提出意见和建议,我们会根据大家的反馈进一步完善和修正。

页: [1]
查看完整版本: 支付宝回应修改密码漏洞:仅在特定情况下才会实现