支付宝的漏洞和它的回应

时间：2017-01-10 22:39    来源：虎嗅网  

　　如果你的支付宝在你不知情的情况被别人更改了密码，还能免密码支付?请问你的心情如何?

　　这个问题从昨晚(1月10日)开始，横亘在每一个支付宝用户的心头。据悉，从昨晚开始，有网友反映，只需要几个步骤，你就可以操控别人的支付宝了。这简直堪比科幻大片：

　　1.打开支付宝登录界面，输入帐号后点击忘记密码

　　2.输入帐号后直接点无法接收短信

　　3.这里有很多验证方式，选择你所知道的方式，熟人验证，你知道的朋友信息

　　4.更改密码，原密码直接忘记，直接更改

　　5.修改完直接登入账户，拥有全部功能，且支持免密支付

　　这个问题迅速发酵，随后虎嗅多位同事在第一时间进行了测试，发现目前这个问题已经修复，无法按照上述步骤篡改别人的密码，帮别人花对方支付宝的钱。

　　在撬动了2016年百度各种问题的第一阵地——知乎上，有网友迅速建立了一个讨论：如何看待支付宝1月10日被曝光的非密码登录模式下可能出现的账户安全风险?

　　在下面的讨论中，一位自称是阿里员工的网友“winter”说：

　　这个问题我10几天前就在内网反馈过了，后来支付宝的人解释了一下情况没大家想的那么糟，据说是有环境判断的，/*支付宝同学要求不要说具体安全策略，这段删掉，总之是有环境判断的*/，另外还有支付密码，所以即使盗了最多刷走点小额，以及搞个朋友圈行骗之类的。

　　支付宝同学认为这不是bug，据说是为了平衡体验和安全性(黑人问号脸)，然而支付宝存几十万的我，表示最好是让我生成RSA我自己持有私钥支付宝服务器拿公钥，这样体验最好。

　　而另一位阿里前员工，显示是“资深网络安全研究人员，默安科技CTO”的网友“云舒”也跟帖称：

　　支付宝这个，确实有问题，不过上午已经修复了。而且类似的事情，以前就出现过，我还在阿里的时候就跟一个叫jason的SB VP吵过架，我说是漏洞他们team说不是，有邮件为证——当然我现在看不到阿里的邮件了。

　　我坚信，类似的风控问题还会继续出。首先因为对安全的理念，我们安全人员看案例，他们业务人员看概率。其次，技术发展方向，他们为了使用方便，太信任机器学习模型，太信任基于风控的控制，而忽视了传统技术层面的强控制。

　　虎嗅就此时联系支付宝的工作人员，对方表示目前正在解决，随后他们给了我一份回应：

　　我们接到网友反映，称可以通过识别好友、识别近期购买物品，来找回支付宝登录密码。

　　这一方式仅在特定情况下才会实现。通常情况下，用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户，我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下，才让用户回答一系列安全问题，只有在回答正确后，才能修改登录密码。

　　这一策略只能找回登录密码，仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。

　　为了更好提升用户的安全感，在接到网友反映后，我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。

　　我们也欢迎用户继续对我们的安全策略提出意见和建议，我们会根据大家的反馈进一步完善和修正。

　　但目前最好的办法是，要么你把支付宝里的余额宝里的钱先转到银行卡里，然后将银行卡跟支付宝解绑。同时，建议你修改支付宝密码。

　　支付宝最近为了刷存在感，也是蛮拼的，远了不说，过去两个月，支付宝制造了不少能够成功引起你注意的话题：

　　1. 支付宝圈子风波

　　2016年11月底，支付宝推出了圈子，圈子就圈子呗，非得搞个“白领日记”和“校园日记”，顿时支付宝成了早期的陌陌，各种堪比艳照的美女照片春光乍泄，那段时间它所激发的雄性荷尔蒙估计得论吨计算，浓度堪比前几天的雾霾。

　　不仅如此，还必须芝麻信用分达到750分才能评论上述的色香味俱全的照片，让那些分数不够的气得胸疼。

　　这场支付宝圈子引发的讨论一时间铺天盖地，媒体有的坐怀不乱、理性分析，认为这将让支付宝具备社交能力，有的则道貌岸然、指责支付宝下作，甚至引来了官媒的指责。

　　该风波以“白领日记”和“校园日记”下架、彭蕾道歉才算平息，最后我们知道了，支付宝“圈子”团队负责人被撤职，支付宝事业群总裁樊治铭被调离。

　　2. 支付宝AR红包漏洞

　　12月22日，支付宝颠覆了传统的微信红包玩法，借助火热的AR技术，基于地理职位的支付宝AR红包再次成功地引爆了话题，支付宝AR实景红包截图成功打入了微信朋友圈。但很快，就有人发现可以利用一些万能PS技术成功抢红包。

　　12月24日，支付宝回应称，“确实存在这种低概率的事情”，且支付宝已经对产品进行了升级。

　　如果你对比支付宝今天对于修改密码的回应，你会发现支付宝的回应有着非常明确的套路：

　　1、承认存在漏洞或风险，但赌它是小概率事件：“这一方式仅在特定情况下才会实现”、“确实存在这种低概率的事情”……

　　2、不明确告诉你是否彻底修复了，只是说升级了：“支付宝已经对产品进行了升级”、“我们于今日上午进一步提高了风控系统的安全等级”……

　　什么时候，支付宝才能重视这些漏洞，重视安全风险，重视用户的资金安全?之前人们基于对支付宝安全的信任，用支付宝来支付生活中的一切，现在你用自己不曾重视的漏洞把人赶到了微信支付和Apple Pay，难道很开心?

█请返回商务财经网新闻首页>>>>>