来源: 发布时间:2017-01-11 12:20:39 作者:
1月10日上午,支付宝被曝存在重大安全漏洞问题——熟人几乎可以100%登录你的支付宝账号并修改密码,从而实现对支付宝及绑定支付宝的银行卡的大额盗刷。此事迅速引发社会性恐慌,不少支付宝用户表示已经卸载支付宝。对这一漏洞,支付宝官方也予以了证实,并紧急发布声明称将提高风控安全等级。这一事件,让支付宝的安全问题再次跌入信任谷底。而更雪上加霜的是,有阿里员工爆料称,这一安全漏洞其实早在十几天前就已经被发现,并被反馈到阿里内网,但显然,负责帐号安全的相关阿里员工并未将此放在心上——如此“迟钝”的安全意识,看来支付宝的“安全支付工具”之路还遥遥无期。
根据网友截图显示,熟人只需要没有任何技术含量的4步,就可以轻松完成对一个支付宝帐号的盗刷:1、打开支付宝登录界面,输入账号后点击“忘记密码”;2、输入账号后直接点“无法接收短信”;3、回答“认识的人”、“与您有关的地址”等问题后通过验证;4、通过验证后重置登录密码。
记者亲自测试验证了该漏洞,并发现在最关键的第三步回答问题阶段,支付宝还提供了“购买过的商品”、“在哪个WiFi下用过支付宝”等问题选项。显然,这些问题的答案并不难找到,比如商家和快递员就很可能知道购买过的物品和送货地址。
对于支付宝出现的漏洞,许多网友担忧自己支付宝中的资金安全:一旦有人登陆自己的支付宝,他便可以通过银行卡、花呗、付款码、余额宝和免密支付等进行大量的资金盗刷。而最恐怖的是:若判定为熟人作案 ,支付宝通常是不予理赔的。曾经有一位网友的支付宝被盗刷,但是支付宝却用疑似“熟人作案”一口回绝,不给赔付。
对于这一漏洞,支付宝紧急发布声明回应称,已经进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码……这一策略只能找回登录密码,且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒”
但网友认为,即使无法通过这种方式直接盗取现金,但支付宝集合了扫码当面付、小额免密支付等多种支付方式,而这两种方式都可以选择不需要输入支付密码。此外,犯罪分子盗取支付宝账户后,也可以向支付宝内的好友进行诈骗,甚至通过收货地址获得好友的地址信息和电话,有可能造成更大范围的损失。因此,对于广大用户来说,这一漏洞还是“细思密恐”。
更令用户对支付宝安全性能产生质疑的是,事件发生后,有疑似阿里内部员工在相关爆料帖子下方回复称:早在10天前就已经在阿里内网反馈这个问题,但并未引发支付宝相关员工的关注,还并得到了“即使盗了最多刷走点小额,以及搞个朋友圈行骗之类”的轻描淡写的回复。
阿里员工在知乎上爆料称十几天前就反映过漏洞问题
实际上,支付宝的安全问题此次并非首例。资深网络安全研究人员,默安科技CTO云舒强调,支付宝安全确实存在问题,“类似的事情,以前就出现过。”他进一步表示,阿里、支付宝的安全理念存在问题。“我还在阿里的时候就跟一个叫jason的SB VP吵过架,我说是漏洞他们team说不是,有邮件为证。”
资料显示,支付宝曾以50%的高风险率,位居第三方支付平台漏洞排行榜的榜首。据比格达塔(中国)研究院统计,2010年11月至2014年5月,国内几大第三方支付平台已知存在系统漏洞99个,其中国内第三方支付龙头“支付宝”达到60个。在支付宝的60个漏洞中,高级别漏洞就高达29个,高风险率接近50%,而中级别的漏洞也达到26.7%的占比。
近两年来,支付宝安全漏洞问题更是屡有发生,平均每月1.3个大漏洞。仅2016年,支付宝漏洞就发生了多起重大的漏洞事件:2016年12月,支付宝AR红包出现漏洞,网友利用PS就能够在家扫红包;2016年9月,支付宝被曝刷脸认证漏洞,网友利用面部模型可以通过支付宝的刷脸认证,实现登录支付宝账号,进行付款、转账的操作;2016年3月,方某利用天猫店绑定支付宝存在漏洞诈骗250万元;2016年1月,90后女孩利用支付宝漏洞——输错账号仍可转账成功诈骗4万元。此外,漏洞报告平台乌云网的统计数据显示,2015年1月到9月,支付宝系统出现的大漏洞共有12个。
无怪乎此事发生之后,不少网友在支付宝的声明下面留言奉劝称,“好好做你的安全支付,别再去做什么社交了”。
还有一点不得不提——这么一则引发媒体及各社交平台关注热议的话题,在新浪微博上搜索时,居然被屏蔽处理,找不到任何相关内容。联想到阿里对微博的投资,有网友调侃称也能理解,毕竟,“爹出事了,儿子怎么能不作为?”
微博搜索“支付宝漏洞”关键词被屏蔽
客观而言,作为第三方支付平台,如何平衡实用性和安全性、做好风险监管,才是最根本的。对于支付宝来说,在跑马圈地的同时,更要重视用户的资金安全,加强系统安全建设,而绝非一副“即使盗了最多刷走点小额”的轻率姿态。毕竟,资金安全从来没有小事。
标签: 新闻中心
