1月10 日消息,有網(wǎng)友曝出支付寶可以通過(guò)手機(jī)號(hào)直接登錄別人的支付寶,甚至修改密碼。
據(jù)此,我們也進(jìn)行了驗(yàn)證嘗試,最終得出了兩種不同的結(jié)果。
第一次嘗試時(shí),在輸入對(duì)方手機(jī)號(hào),選擇“忘記密碼”,并選擇“該手機(jī)不能接收短信”后,支付寶給出的安全問(wèn)題是“對(duì)方父母的本名”,在一次輸入錯(cuò)誤后放棄該次嘗試。
第二次嘗試時(shí),在輸入另一位朋友的手機(jī)號(hào),選擇“忘記密碼”,并選擇“該手機(jī)不能接收短信”后,我們看到了漏洞爆料中的兩個(gè)問(wèn)題:“最近購(gòu)買(mǎi)過(guò)的物品”和“他認(rèn)識(shí)的一位朋友”。選擇正確后,支付寶跳出的頁(yè)面是密碼修改頁(yè)面,我們選擇了“直接進(jìn)入支付寶”,成功登陸。
所以,經(jīng)過(guò)親測(cè),這個(gè)問(wèn)題是存在的,但可能問(wèn)題隨機(jī)出現(xiàn),不一定會(huì)剛好抽到這兩個(gè)問(wèn)題。當(dāng)然我們的測(cè)試經(jīng)過(guò)了當(dāng)事朋友的同意,社會(huì)主義價(jià)值觀我們是有的呢。
隨后,我們聯(lián)系了支付寶方面。就在剛才,我們收到了支付寶的官方回應(yīng)。簡(jiǎn)單劃下重點(diǎn):
1.回答安全問(wèn)題的登陸方式,是在支付寶的風(fēng)控系統(tǒng)進(jìn)行評(píng)估(比如賬戶(hù)信息完整程度、網(wǎng)絡(luò)環(huán)境等因素)后,在安全系數(shù)較高的情況下,才能實(shí)現(xiàn)。
2.這一策略只能找回登錄密碼,僅通過(guò)回答安全問(wèn)題并無(wú)法找回支付密碼。
3.今日上午支付寶進(jìn)一步提高了風(fēng)控系統(tǒng)的安全等級(jí)。目前僅在用戶(hù)自己的手機(jī)上,才能通過(guò)識(shí)別近期購(gòu)買(mǎi)商品以及識(shí)別本人好友來(lái)找回登錄密碼,通過(guò)其他手機(jī)設(shè)備無(wú)法實(shí)現(xiàn)。
以下為支付寶回應(yīng)全文:
我們接到網(wǎng)友反映,稱(chēng)可以通過(guò)識(shí)別好友、識(shí)別近期購(gòu)買(mǎi)物品,來(lái)找回支付寶登錄密碼。
這一方式僅在特定情況下才會(huì)實(shí)現(xiàn)。通常情況下,用戶(hù)找回登錄密碼至少需要輸入手機(jī)短信驗(yàn)證碼。對(duì)于部分暫時(shí)無(wú)法收到短信的用戶(hù)或者更換移動(dòng)設(shè)備的用戶(hù),我們的風(fēng)控系統(tǒng)會(huì)先進(jìn)行評(píng)估(比如賬戶(hù)信息完整程度、網(wǎng)絡(luò)環(huán)境等因素)。在安全系數(shù)較高的情況下,才讓用戶(hù)回答一系列安全問(wèn)題,只有在回答正確后,才能修改登錄密碼。
這一策略只能找回登錄密碼,僅通過(guò)回答安全問(wèn)題并無(wú)法找回支付密碼。且一旦用戶(hù)支付寶在其他設(shè)備被登錄,本人設(shè)備會(huì)收到通知提醒。
為了更好提升用戶(hù)的安全感,在接到網(wǎng)友反映后,我們于今日上午進(jìn)一步提高了風(fēng)控系統(tǒng)的安全等級(jí)。目前僅在用戶(hù)自己的手機(jī)上,才能通過(guò)識(shí)別近期購(gòu)買(mǎi)商品以及識(shí)別本人好友來(lái)找回登錄密碼,通過(guò)其他手機(jī)設(shè)備是無(wú)法應(yīng)用這一方式找回登錄密碼的。
我們也歡迎用戶(hù)繼續(xù)對(duì)我們的安全策略提出意見(jiàn)和建議,我們會(huì)根據(jù)大家的反饋進(jìn)一步完善和修正。