新华网重庆频道 > 正文

您的位置:新华网重庆频道 >> 正文

打印转发 字号:

支付宝现“熟人登录”漏洞 官方:用户资金安全不受影响
2017年01月11日 07:38:52  来源: 重庆晨报

  官方回应已提高风控系统安全等级,用户资金安全不受影响

  昨日,社交网络被支付宝的“安全漏洞”事件刷屏,不少用户晒出自己“攻破”熟人支付宝的截图。随后,支付宝发声明称,昨日上午已经提高了风控系统的安全等级,目前这一漏洞已被堵上。

  网传漏洞

  知晓熟人信息可篡改密码

  网上流传的“攻破”支付宝方式为:打开支付宝登录界面——输入熟人的支付宝账户(一般为手机号或邮箱号)——点击忘记密码(支付宝随后会向手机号发送验证短信)——点击无法接收短信——支付宝界面出现识别熟人近期购买物品、识别好友的验证(均为9张图选1)——验证通过后即可修改登录密码。

  这意味着,只要熟知好友近期的购买行为和关系圈,就可以登录并修改好友的支付宝登录密码;对于陌生人而言,也有1/81的概率登录他人的支付宝账户。

  有些账号开通了小额免密支付,像点外卖、打车等小额支付不需输入支付密码,还有用户开通了当面扫码支付无需密码功能。所以大多网友担心的是,在被修改了登录密码后,不用支付密码也可使用该账号消费。

  官方回应

  仅在特定情况下才会实现

  昨日中午,重庆晨报记者联系上支付宝方面,得到的回应是:网友反映的这一方式仅在特定情况下才会实现。通常情况下,用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或更换移动设备的用户,我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。

  这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。

  昨日下午,支付宝方面继续向重庆晨报记者发来了进一步的回应解释,并附上了上海交通大学密码与计算机安全实验室(LoCCS)安全研究团队的实验测试:攻击者的攻击窗口受到实际情况限制较大,且在完成登录后再进行针对用户财产的操作会被支付密码进一步限制,因此很多现有评估存在对安全威胁的夸大描述。

  安全升级

  验证只能在本人手机使用 支付宝还回应称,就算登录密码被重置,支付密码也不会受到影响,用户资金安全还是可以得到保障。

  支付宝已于昨日上午进一步提高了风控系统的安全等级。目前,仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备无法用这一方式找回登录密码。

  随后有网友称,在自己手机上试验登录别人的支付宝账户,没有出现回答安全问题的验证方式,也无法通过这种途径取得他人的支付宝登录密码,而是要通过绑卡验证、人脸识别等其他方式。

  本报记者 杨野

  莫名收到验证码短信,这样做!

  安全专家提出了注意事项:网友们应当建立起给网络账户挂失的习惯,当手机丢失,需要对手机绑定的网络账户挂失。

  例如,如果用户突然收到支付宝发来的验证码短信,说明有人尝试登录支付宝账号,可以立刻进入支付宝客户端,通过“我的-设置-账户与安全-安全中心-急救包-快速挂失”或拨打支付宝服务热线95188进行挂失,这种举措能够阻碍任何人登录你的账号,并且阻止资金转入流出。

  ■特别提醒

  发现有人倒票 拨028-86432388举报

  春运期间,成都铁路公安局提前启动了打击倒票“猎鹰-2017战役”,并向社会公布了028-86432388举报电话。铁路警方将根据线索情况,给予有功举报人员相关奖励。面对高度集中、叠加的客流,成铁警方将启动二级安保响应,聘请了900余名武警官兵和保安人员参与维持春运秩序。

  需要引导购票等服务

  可找火车站的志愿者

  成都铁路局团委还在重庆组织300余名青年志愿者参与重庆境内11个车站的春运服务,为旅客提供咨询、引导及帮扶等服务。此外,重庆市境内车站共搭建了8352平方米的临时候车棚,并在重庆、重庆北、万州、万州北、秀山等5车站分别设置了导购、导候服务台,安排专人引导购票乘车。在重庆、重庆北站的验证口前或广场位置设立车站服务台,为旅客提供引导等服务。

[打印] [评论] [信箱]

[责任编辑: 赵紫东]

发表言论
新华博客 新华拍客 新华播客

请点击进入 新华社区重庆城市论坛 发言
请您文明上网、理性发言并遵守相关规定

新华网版权与免责声明
新华网重庆频道编辑部 电话:023-89187062

扫描二维码 关注更多重庆精彩

“重庆正事儿”,戳一戳就知道重庆的大事儿!


版权所有 新华网重庆频道
010070150010000000000000011117101120284899