今日有網(wǎng)友發(fā)現(xiàn)了支付寶的一個(gè)致命漏洞,他人熟知你的支付寶個(gè)人信息后可以通過(guò)“找回密碼”功能登錄并篡改支付寶密碼。
經(jīng)過(guò)實(shí)測(cè),發(fā)現(xiàn)只要對(duì)一個(gè)人的購(gòu)物習(xí)慣以及他的圈子比較熟悉的,按照上述操作的match確可以很快破解,然后重置密碼。
按照網(wǎng)友的說(shuō)法,支付寶的漏洞原理如下:通過(guò)支付寶APP登錄——選擇“忘記密碼”——選擇“手機(jī)不在身邊”——這時(shí)支付寶會(huì)讓你選擇“淘寶買過(guò)的東西”(9張圖片選1個(gè))——“你可能認(rèn)識(shí)的人”(9個(gè)好友選1個(gè))——只要選擇對(duì)就可以重置密碼了。
不過(guò),根據(jù)在支付寶選擇圖片的驗(yàn)證操作,陌生人破解支付寶密碼的機(jī)會(huì)并沒有1/9那么高,實(shí)際為1/81。但若為熟人操作,則賬戶被登錄的成功率極高。
支付寶在線上支付中需要支付密碼,但在當(dāng)面掃碼付款中沒有防護(hù)手段。此外個(gè)人支付寶賬號(hào)中完整顯示了個(gè)人的真實(shí)信息,不法分子也可通過(guò)支付寶求好友轉(zhuǎn)賬等方式進(jìn)行詐騙。
對(duì)于漏洞事件,支付寶官方微博進(jìn)行了回應(yīng):