支付寶現(xiàn)重大漏洞 帳號(hào)密碼被改了怎么辦？

編輯在上班路上忽然收到了一條支付寶驗(yàn)證碼的短信，察覺(jué)到異常后立刻打開(kāi)了支付寶客戶端，結(jié)果被嚇出了冷汗：

他發(fā)現(xiàn)自己的支付寶賬號(hào)竟正被別人登錄，隨即他收到一條朋友發(fā)來(lái)的微信消息：

我剛才用網(wǎng)上流傳的“支付寶致命漏洞”來(lái)重置你的登錄密碼，竟然成功了!你還不知道嗎?朋友圈都傳開(kāi)啦!

支付寶漏洞?雷鋒網(wǎng)編輯隨即打開(kāi)朋友圈，發(fā)現(xiàn)已經(jīng)有很多網(wǎng)絡(luò)安全圈內(nèi)的朋友都轉(zhuǎn)了一條名為“支付寶驚現(xiàn)致命漏洞，快解綁你的銀行卡”的報(bào)道。

報(bào)道中稱，有網(wǎng)友發(fā)現(xiàn)支付寶在登錄方式上存在致命的邏輯漏洞，導(dǎo)致熟人之間可以相互登錄對(duì)方的支付寶賬號(hào)，流程大致如下：

進(jìn)入「忘記密碼」界面后，選擇「無(wú)法接受短信」，這時(shí)候會(huì)出現(xiàn)兩個(gè)相關(guān)問(wèn)題：一、在9張圖片當(dāng)中找出你認(rèn)識(shí)的人 ;二、選擇與您有關(guān)的地址。

只要成功答對(duì)這兩道問(wèn)題，就可以重置該支付寶賬號(hào)的密碼，并且在登錄后可以正常使用免支付密碼的快捷支付功能，直接使用對(duì)方支付寶中的資金。

很快，隨著該消息在朋友圈內(nèi)的傳播，越來(lái)越多的人表示自己收到支付寶登錄驗(yàn)證短信，以及相關(guān)的賬號(hào)異常提醒。許多人開(kāi)始用身邊朋友的支付寶賬號(hào)來(lái)嘗試復(fù)現(xiàn)該漏洞。

有人表示，周圍已經(jīng)有不下十人成功登錄了身邊朋友的支付寶賬號(hào)，甚至有網(wǎng)絡(luò)安全高手也中招了，由此他判斷此次問(wèn)題可能非常嚴(yán)重。

真實(shí)成功率如何?

雷鋒網(wǎng)(公眾號(hào)：雷鋒網(wǎng))編輯在對(duì)周圍朋友的支付寶賬號(hào)進(jìn)行了大約7~8 次嘗試后，成功重置了自己女朋友的支付寶密碼，這是在雙方十分了解，知道對(duì)方認(rèn)識(shí)的人、購(gòu)物記錄和家庭住址等情況的前提下實(shí)現(xiàn)的。雖然結(jié)果確實(shí)令人驚訝，但成功率并沒(méi)有網(wǎng)上說(shuō)的那么夸張——“陌生人有五分之一的機(jī)會(huì)登錄你支付寶，熟人有百分之百的機(jī)會(huì)登錄你的支付寶”。

在測(cè)試中我們發(fā)現(xiàn)，兩個(gè)測(cè)試題會(huì)隨機(jī)出現(xiàn)“你認(rèn)識(shí)的人”、“和你相關(guān)的地址”、“你曾經(jīng)買過(guò)的東西”等不同的問(wèn)題，只要答錯(cuò)一兩次，該種方式就會(huì)被屏蔽，只允許使用其他方式找回密碼，并且其他的方式也會(huì)在嘗試失敗后逐漸被屏蔽，這似乎觸發(fā)了支付寶的某種安全機(jī)制。

【驗(yàn)證失敗后驗(yàn)證方式會(huì)發(fā)生變化】

在多次試驗(yàn)后，雷鋒網(wǎng)編輯發(fā)現(xiàn)自己無(wú)論使用誰(shuí)的支付寶賬號(hào)，都無(wú)法再使用之前那種通過(guò)相關(guān)信息來(lái)重置密碼的方式。

至上午10點(diǎn)左右，周圍不少在測(cè)試該漏洞的朋友也表示自己測(cè)試失敗，只有在自己的常用設(shè)備下才能觸發(fā)相關(guān)消息找回。有安全從業(yè)者表示：“支付寶響應(yīng)很快，據(jù)說(shuō)目前已經(jīng)對(duì)風(fēng)控進(jìn)行了調(diào)整。”

支付寶官方回應(yīng)

至上午11點(diǎn)50分左右，支付寶官方微博發(fā)出聲明，對(duì)此次事件進(jìn)行了公告，全文如下：

雖然目前螞蟻金服方面尚未給出具體的風(fēng)控手段解析，但據(jù)雷鋒網(wǎng)了解，支付寶風(fēng)控和阿里聚安全應(yīng)用了同一套技術(shù)基礎(chǔ)，據(jù)此，可以判斷支付寶也應(yīng)用了以下風(fēng)控手段：

風(fēng)險(xiǎn)信息庫(kù)

對(duì)于支付寶的所有的驗(yàn)證登錄數(shù)據(jù)，都會(huì)被收錄到風(fēng)險(xiǎn)信息庫(kù)中。每一個(gè)風(fēng)險(xiǎn)用戶和背后的手機(jī)、郵箱、IP地址、身份證號(hào)都會(huì)被記錄在案。

設(shè)備指紋

對(duì)于每一臺(tái)登錄支付寶的設(shè)備，風(fēng)控措施都會(huì)為了給設(shè)備定義一個(gè)獨(dú)特的指紋，系統(tǒng)會(huì)收集多維度的信息，例如：

— App的基本信息。其中包括 App 的名稱、版本等，也包括集成 SDK 的版本信息。

—設(shè)備信息。包括設(shè)備的名稱、型號(hào)、系統(tǒng)、IMEI號(hào)、MAC地址。(iOS 設(shè)備只能獲取部分信息)

—網(wǎng)絡(luò)信息。wifi、4G等參數(shù)。

—公開(kāi)的接口信息。例如軟件ID、開(kāi)發(fā)者ID。

通過(guò)以上信息綜合算出設(shè)備的“指紋ID”。這個(gè) ID 相當(dāng)于設(shè)備的身份證。當(dāng)硬件發(fā)生變動(dòng)時(shí)，只要改動(dòng)的部件低于一定比例，仍會(huì)被認(rèn)定為是同一臺(tái)設(shè)備。

根據(jù)支付寶的公告，目前已調(diào)整風(fēng)控等級(jí)，支付寶的風(fēng)控措施會(huì)在背后判斷根據(jù)以上的設(shè)備指紋來(lái)判斷是否是用戶的常用設(shè)備，用戶僅僅在自己的設(shè)備上才能使用相關(guān)信息才能使用“相關(guān)信息驗(yàn)證”的方式來(lái)登錄。

因此，現(xiàn)在已經(jīng)不必再著急解綁自己的銀行卡了，更重要的應(yīng)該是，看好自己的手機(jī)!

關(guān)鍵詞： 支付寶 現(xiàn)重大漏洞