支付宝被曝出现“熟人漏洞”。昨日一大早,有网友称可通过购物验证、好友验证等方式修改他人支付宝登录密码。支付宝昨日中午回应称已经修改,目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备无法应用这一方式找回登录密码。
购物识别、好友识别漏洞已堵
1月10日上午,有网友声称发现“支付宝新漏洞”,“陌生人有5分之一的机会登录你支付宝,熟人有百分之百机会登录你的支付宝”。按其描述,在选择登录手机账号时,选择忘记密码,并点击手机不在身边,然后勾选在淘宝中买过的一件东西,再选择一位好友图片进行验证,便可以成功登录。
对于上述方法,昨日有用户在微博上称,用自己手机去重置朋友的密码,结果成功“盗号”。还有多家媒体称按照该方法实现了对熟人支付宝密码的修改。
临近中午记者尝试通过朋友的手机登录自己的支付宝,在输入手机号后选择重置登录密码,期间支付宝会发送验证码信息至登录手机号。但除了电讯校验码之外,其他找回的方式有“回答安全问题”、“刷脸验证”、“验证本人银行卡信息”、“拨打验证电话”等四种方式,并未出现购买商品验证和好友识别等程序。
随后,记者又通过自己的手机进行上述操作,在好友识别中,系统则出现了9张人物的图片,成功勾选“认识的人”便可进入购物验证环节。与上一流程类似,在9张商品图片中勾选用户购买过的商品后,成功设置了新密码。
支付宝昨日中午通过官方微博回应称,上午已提高风控系统的安全等级,目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备无法应用这一方式找回登录密码。
无密码小额支付遭网友吐槽
对于支付宝出现上述漏洞,昨日引发网络热议。有网友在支付宝官方微博上评论,表示“好好做支付宝,别做社交!”至记者截稿该评论得到了2142个点击。对此评论,支付宝回应称:“你说得对”。
不过,对于“熟人漏洞”,支付宝方面表示,仅在特定情况下才会实现。“通常情况下,用户找回登录密码至少需要输入手机短信验证码,对于部分暂时无法收到短信的用户或者更换移动设备的用户,我们的风控系统会先进行评估。”
支付宝表示,在安全系数较高的情况下,才让用户回答一系列安全问题,然后修改登录密码。对此说法,有网友称,“你们看被盗是很小的概率,但是一旦发生对我们来说就是百分之百”。
此外,支付宝表示,“这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码”。针对此说法,有网友吐槽了支付宝的“付款”功能,该功能无须输入支付密码,只需商家扫描支付宝二维码即可实现上限一千元的小额支付。
不少网友也表示类似的担忧,比如呼吁在商家扫码之后,多一个手机输入密码确认的环节。
■ 小贴士
移动支付“安全险”热销
新京报记者注意到,随着支付安全问题频频爆发,保障账户安全类的保险也成了热销产品。目前,各大保险公司推出的盗刷险保障范围大同小异,保额在5万元、10万元甚至100万元的盗刷理赔险,保费往往从几角钱到几十元不等。
以凤凰金融的壹账保为例,该保险可保个人名下第三方支付账户及银行卡资金安全,全年不限次赔付,最少的花48.88元保费全年保障额度为10万元,花333.88元保费全年保障额度可高达100万元。在理赔时报案、递交相关材料申请理赔、保险公司查勘审核通过之后,一个工作日之内赔款可到账。
某保险工作人员告诉记者,账户安全险作为意外情况的补充,花小钱买放心是个不错的选择。不过需要注意,各种产品赔付条件各不相同,消费者在购买前一定要仔细研读相关赔付条款。最好选择保障范围更广更明确的账户安全险种,在理赔时就能很清楚地划定界限,及时获得赔偿。
专家表示,保障账户安全最重要的还是消费者的自我保护意识。比如,要保管好账号、密码和网盾,不要轻易向他人透露证件号码、账号、密码等;认清网站网址,避免陷入钓鱼网站的圈套;确保计算机系统和手机安全,定期下载并安装最新的操作系统和浏览器安全补丁。(王全浩 杨砺)
追问1
找回密码是否存风险漏洞?
在网友晒出他人能够通过购物信息和好友识别登录用户账号后,支付宝立即回应这两种方式目前仅能在用户自己的手机上找回密码。
有用户担心,这种验证方式在熟人交往和消费信息分享的情况下,存在漏洞。
上海财经大学副教授曹啸表示,“互联网讲究用户体验,以前登记的一些问题可能记不住,用户为了图方便,也不愿意输各种号码,直接选择就好了。”
曹啸认为,作为支付工具,从支付宝来说,特别希望用一个很方便的方式来优化各种用户体验,但在为客户提供便利性的时候,也要考虑够不够安全。
“金融服务的目的是让大家保证安全,同时提升金融消费者的体验”。中央财经大学中国银行业研究中心主任郭田勇表示,金融支付机构要在风险与效率之间寻找一种平衡,他人在通过购买过的商品等方式登录支付宝后,应该还有其他的风险识别手段,但用户没有注意到。
追问2
免密支付是否会被利用?
针对今日网友声称的熟人登录用户支付宝后,扫码支付便不用支付密码的疑问。新京报记者从蚂蚁金服相关人士处了解到,在使用别的非本人设备登录支付宝账户后,使用免密支付也会先要求输入交易密码。
“通常讲,手机如果保存不好,密码被别人修改了,安全性就很难保证”。曹啸认为,密码被别人修改登录后,比如有些支付是免密支付,包括商家扫码,支付安全就不好谈。
不过,他也表示,免密支付的问题可能不是很大,“因为大多是小额”。他表示,支付工具可以通过金额控制、情景适当限制,在安全和便利性之间做一个折中,是一个比较好的方式。
对此有网友表示,免密支付的上限是1000元,且是单次支付,还是需要更安全的支付手段。
追问3
“晒单”为熟人漏洞提供便利?
在支付宝不断嵌入各种消费场景的同时,在社交方面也不断进行尝试。通过支付宝进行消费后,有的用户也会随手分享自己的消费体验。
在昨日支付宝两项验证曝出后,也有用户担心支付宝好友圈晒单会为泄露信息提供出口,甚至有声音反对支付宝做社交。
曹啸表示,用户的消费行为等暴露出来后,有增加泄露个人信息的可能,有些验证方式就不够安全了。“当大家越来越多使用电子支付的方式,对支付安全的要求和挑战更高,在事前不可能了解所有的漏洞,不存在100%绝对安全的验证方式,这是很正常、可预见的一次挑战。”
他认为,把支付方式和社交平台绑得越多越不安全,但绑得越多,运用的场景会越多,用起来更方便,但对技术提出更高的要求。“让客户发现问题,从这个角度来说,支付工具提供者做得不够。”