1 月 10 日凌晨,有网友在微信群称支付宝可以更改别人的密码,甚至可以不用别人原密码直接用手机号就可以更改。
对此,支付宝方于 10 日中午 12 点左右回应表示,支付宝已于 10 日上午提高风控系统的安全等级。
不只是熟人,或许谁都可以改掉你的支付宝密码
据了解,支付宝的装置管理功能此前 2016 年于 10 月 31 日正式下线。据支付宝官方介绍,该功能下线后,支付宝 App 一次只允许登录一台装置,在当前装置登录后,其他装置会自动退出登录。
自媒体“科技先生”对此消息做了求证,确定是可以更改,并以流程为证。
- 打开支付宝登录界面,输入账号后点击忘记密码
- 输入账号后直接点无法接收短讯
- 这里有很多验证方式,选择你所知道的方式,熟人验证,你知道的朋友资讯
- 更改密码,原密码直接忘记,直接更改
- 修改完直接登入账号,拥有全部功能,且支持免密支付。
爱范儿在测试后,发现确实有一定概率可以直接改掉密码。我们测试了 3 个不同的支付宝账户,其中有两个“被修改密码成功”。
任何人、用一台常用的手机、选择其中一个验证方式,都可以直接改掉他人的支付宝账号密码。而熟人验证、朋友资讯在改密码过程使用起来是十分方便的。
例如说,可能你加过某个商家,他有了你的一些个人资讯如淘宝账号、曾经的消费纪录;或者说,你和某个陌生人在路上借过现金,你加他为支付宝好友,转过帐给他。
这些资讯,都可能成为熟人验证的证明。
支付宝表示,虽然支付宝之前支持购买商品和辨识好友登录,但除了今天的测试情况外,没有发生和监测到大规模的盗号事件,而为了用户的安全还是调整了相应策略。
“支付宝安全保障规则”里有提到一个资产安全保护前提:
以下情况不在本保障服务的保障范围内:
经调查或经支付宝合理判断,对您主张您的资金未经本人授权支出的事实存疑或支付宝有理由认为可能由您本人操作或是您的配偶、亲属、朋友或雇员、代理人等所为的。如:资金支出的操作行为发生在可信网络环境下(如常用设备、IP、透过短讯验证等),或存在您本人陈述与支付宝调查到的事实不符等可疑情形。
爱范儿和支付宝了解此条例之后是否会做修改,官方回应表示,要根据具体事件而定,如果发生相关情况,会在保险公司和公安机关会审核后做出判决。
网友出招:暂时的补救办法
下面附几则截至当前可用的补救方法(整理自知乎):
- 余额转出
- 解绑银行卡
- 关闭小额免密支付:设置─支付设置─免密支付
- 花费额度调到最低的 500
- 购买支付宝内置的 2 元的账号安全险
- 登录支付宝 PC 网页版,设置安全问题
- 如果收到任何来自支付宝的密码更改短讯,立刻去支付宝的急救包内办理挂失
目前,支付宝方面回应已提高风控系统的安全等级,此办法或可不用。
支付宝回应:于 10 日上午进一步提高了风控系统的安全等级
自 10 日凌晨,在安全漏洞事故被曝光近 12 个小时后,支付宝方面终于公布处理结果。据了解,支付宝于 10 日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能透过辨识近期购买商品以及辨识本人好友来找回登录密码,透过其他手机装置是不能用这一方式找回登录密码的。
以下为回应全文:
我们接到网友反映,称可以透过辨识好友、辨识近期购买物品,来找回支付宝登录密码。
这一方式仅在特定情况下才会有效。通常情况下,用户找回登录密码至少需要输入手机短讯验证码。对于部分暂时无法收到短讯的用户或者更换行动装置的用户,我们的风控系统会先进行评估(比如账号资讯完整程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。
这一策略只能找回登录密码,仅透过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他装置被登录,本人装置会收到通知提醒。
为了更好提升用户的安全感,在接到网友反映后,我们于 10 日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能透过辨识近期购买商品以及辨识本人好友来找回登录密码,透过其他手机装置是无法用这一方式找回登录密码的。
我们也欢迎用户继续对我们的安全策略提出意见和建议,我们会根据大家的反馈进一步完善和修正。
(本文由 爱范儿 授权转载;首图来源:支付宝)
