掌握聚合最新动态了解行业最新趋势
API接口,开发服务,免费咨询服务

支付宝炸了,快递小哥都能刷走你账户的钱

1 月 10 日凌晨突发新闻,有网友爆料支付宝新漏洞,熟人几乎可以百分之百修改你的登录密码,登录支付宝后还可以直接用付款码付款,支付宝账单也可以删除,支付密码则可以用完整银行卡号修改。经过我同事张信宇的试验,确实可以轻松破解身边女友的账户,成功修改密码登录。

知乎上也有相关的提问《如何看待支付宝 1 月 10 日被曝光的非密码登录模式下可能出现的账户安全风险?》,提问中给出了比较详尽的破解方法:登录手机账号——忘记密码——手机不在身边——淘宝买过的东西 9 张图片选 1 个——好友验证 9 个好友图片选 1 个——修改密码——登录成功。

退出自己的账号,进入支付宝登录界面,输入帐号(手机)后点击忘记密码。接收校验码的时候选择无法接收短信。

选择熟人验证的方式,选择该账号主人认识的人和常用地址

更改账户密码,成功登录。随意使用免密支付和付款码。得到银行卡号或者刷脸登陆的动图后可以修改支付密码。

这里的“熟人”不仅仅指的是你身边的朋友,包括知道你地址、手机号、爱买什么的淘宝店家和快递小哥。另外,你的身份证号也不是什么多难拿到的东西。

截至发稿前,好像支付宝已经修改了这个验证方式:

支付宝这种验证方式很像机械模仿微信后的结果(可是关系到了支付安全),根据知乎网友,手机淘宝前端老大 Winter 所说,这个漏洞十几天前就被发现过了,但是并没有被重视起来。

有不少人都宣称要把支付宝好友都删了,这样就不会有熟人验证的尴尬和朋友圈行骗的事情发生了。

为了安全保险起见,建议你可以做以下几件事:

1.余额和余额宝中的钱全部转出

2.“我的-点击最上方卡片-我的银行卡-选择银行卡-右上角管理-删除”

3.关闭小额免密支付:“设置-支付设置-免密支付-小额免密支付”

4.如果发现自己的账号被登录了,可以在“我的-设置-账户与安全-安全中心-急救包”中选择快速挂失

但是还可以通过手机号和身份证号解除挂失。只能不断挂失解挂,直到绑定新的手机号。

5. 花呗额度调到最低的 500 :“我的-蚂蚁花呗-设置-额度设置”

6.购买支付宝内置的 2 元的账户安全险:“我的-保险服务”

7.登录支付宝 PC 网页版,设置安全问题

8.不建议设置刷脸登录

目前支付宝蚂蚁神盾局给出的回应,为了证明支付宝的可靠性,支付宝公关们也纷纷晒出了自己的支付宝账户邀请大家来测试刷钱:

_Ew-ouP73-ThC7MmX6oQ.jpg

更多有品好玩的新闻早知道。

原文来自:品玩

声明:所有来源为“聚合数据”的内容信息,未经本网许可,不得转载!如对内容有异议或投诉,请与我们联系。邮箱:marketing@think-land.com

  • 航班订票查询

    通过出发地、目的地、出发日期等信息查询航班信息。

    通过出发地、目的地、出发日期等信息查询航班信息。

  • 火车订票查询

    通过站到站查询火车班次时刻表等信息,同时已集成至聚合MCP Server。火车票订票MCP不仅能赋予你的Agent火车时刻查询,还能支持在线订票能力。

    通过站到站查询火车班次时刻表等信息,同时已集成至聚合MCP Server。火车票订票MCP不仅能赋予你的Agent火车时刻查询,还能支持在线订票能力。

  • 车辆过户信息查询

    通过车辆vin码查询车辆的过户次数等相关信息

    通过车辆vin码查询车辆的过户次数等相关信息

  • 银行卡五元素校验

    验证银行卡、身份证、姓名、手机号是否一致并返回账户类型

    验证银行卡、身份证、姓名、手机号是否一致并返回账户类型

  • 高风险人群查询

    查询个人是否存在高风险行为

    查询个人是否存在高风险行为

0512-88869195
数 据 驱 动 未 来
Data Drives The Future