昨日,社交网络被支付宝的“安全漏洞”事件刷屏,不少用户晒出自己“攻破”熟人支付宝的截图。随后,支付宝发声明称,昨日上午已经提高了风控系统的安全等级,目前这一漏洞已被堵上。

  网传漏洞

  知晓熟人信息可篡改密码

  网上流传的“攻破”支付宝方式为:打开支付宝登录界面——输入熟人的支付宝账户(一般为手机号或邮箱号)——点击忘记密码(支付宝随后会向手机号发送验证短信)——点击无法接收短信——支付宝界面出现识别熟人近期购买物品、识别好友的验证(均为9张图选1)——验证通过后即可修改登录密码。

  这意味着,只要熟知好友近期的购买行为和关系圈,就可以登录并修改好友的支付宝登录密码;对于陌生人而言,也有1/81的概率登录他人的支付宝账户。

  有些账号开通了小额免密支付,像点外卖、打车等小额支付不需输入支付密码,还有用户开通了当面扫码支付无需密码功能。所以大多网友担心的是,在被修改了登录密码后,不用支付密码也可使用该账号消费。

  官方回应

  仅在特定情况下才会实现

  昨日中午,重庆晨报记者联系上支付宝方面,得到的回应是:网友反映的这一方式仅在特定情况下才会实现。通常情况下,用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或更换移动设备的用户,我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。

  这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。

  昨日下午,支付宝方面继续向重庆晨报记者发来了进一步的回应解释,并附上了上海交通大学密码与计算机安全实验室(LoCCS)安全研究团队的实验测试:攻击者的攻击窗口受到实际情况限制较大,且在完成登录后再进行针对用户财产的操作会被支付密码进一步限制,因此很多现有评估存在对安全威胁的夸大描述。