10日上午十一点左右,腾讯科技公号发布的《紧急!支付宝惊险重大漏洞,熟人能轻松篡改你的密码》一文中爆出支付宝存在漏洞,熟人可以百分之百地篡改用户密码,而即使是陌生人,成功改密的几率也有1//81。
腾讯科技的文中显示,登录密码时选择“忘记密码”,在打开界面选择“无法接受短信”,便可进入一个选择“可能认识的人”的好友头像验证界面。选择正确后再进入一个选择“淘宝买过的东西”的验证界面,两个验证步骤都是从9张图片中选1张。由此,腾讯科技记者便认为,陌生人篡改密码的成功率是1/81。
好奇心甚重的唆麻看过之后也跃跃欲试,也顺便整蛊一下朋友。于是我锁定了一个朋友,并在登录界面输入了她的手机号,点击“忘记密码”。
在弹出的重置登录密码界面自动填写的刚才的手机号,点击“下一步”。
打开界面显示已经向该手机号发送了验证码。这样账号主人岂不是就有所警觉了?不管,先继续再说。
点击“无法接收短信”,按理说,下一步就是要验证可能认识的人了。
等等……添加银行卡什么鬼?这跟腾讯科技说的不一样啊。为什么人家显示出的是图片验证,我就是银行卡验证呢?
听说支付宝验证方式是随机的。好吧,算我手气差,换一个人再试试。
同样的步骤,这一下弹出来的居然是刷脸认证,这密码同样改不成了。
如此反复尝试了五六个手机号,仍然没有弹出我想要的图片验证界面。这事也不会是空穴来风,还是再试试吧。
看着支付宝为数不多的好友,唆麻决定拿自己开刀,毕竟熟人已经挨个试完了。虽说用自己的号试验会觉得怪怪的,但心里还是很踏实的。不过,更重要的是,居然显示出了选择“选择可能认识的人”的界面,真是功夫不负有心人!
那么问题来了,为什么用自己的账号验证就能通过验证熟人改密了呢?莫非支付宝还知道谁在使用不成?当然不可能。
今天中午,微博认证为“蚂蚁金服安全中心官方微博"的蚂蚁神盾局发布微博“支付宝对于安全问题回复策略调整通知”。微博中清晰解释了这种验证方式的来龙去脉。
首先我们肯定的是这种方式去确实存在,但只有在特定情况下才会实现,支付宝的风控系统会进行评估,只有在安全系数较高的情况下才能启用这种验证方式。比如唆麻退出了自己的账号再进行密码找回,前后使用的都是同一移动设备,系统就认为安全系数高,而朋友的账号从未在唆麻的手机上登陆过,安全系数自然也低,就不会出现熟人认证的方式。
支付宝也承认了这种方式的缺陷,并做出修正,提高了风控系统的等级,只有在用户自己的手机上才能通过识别熟人及近期购买物品进行验证。
不但如此,支付宝的登录密码和支付密码是两套独立且不同的密码。即便有人篡改登录密码,也无法进行转账和支付。
一番说明有理有据,不仅保证了安全还在安全范围内为用户提供了方便。支付宝这次被曝漏洞不但没有慌张,反而让用户看到支付宝确实安全可靠,可以说是此次事件的最大赢家。