1月10 日消息,有網友曝出支付寶可以通過手機號直接登錄別人的支付寶,甚至修改密碼。
據此,我們也進行了驗證嘗試,最終得出了兩種不同的結果。
第一次嘗試時,在輸入對方手機號,選擇“忘記密碼”,并選擇“該手機不能接收短信”后,支付寶給出的安全問題是“對方父母的本名”,在一次輸入錯誤后放棄該次嘗試。
第二次嘗試時,在輸入另一位朋友的手機號,選擇“忘記密碼”,并選擇“該手機不能接收短信”后,我們看到了漏洞爆料中的兩個問題:“最近購買過的物品”和“他認識的一位朋友”。選擇正確后,支付寶跳出的頁面是密碼修改頁面,我們選擇了“直接進入支付寶”,成功登陸。
所以,經過親測,這個問題是存在的,但可能問題隨機出現,不一定會剛好抽到這兩個問題。當然我們的測試經過了當事朋友的同意,社會主義價值觀我們是有的呢。
隨后,我們聯系了支付寶方面。就在剛才,我們收到了支付寶的官方回應。簡單劃下重點:
1.回答安全問題的登陸方式,是在支付寶的風控系統進行評估(比如賬戶信息完整程度、網絡環境等因素)后,在安全系數較高的情況下,才能實現。
2.這一策略只能找回登錄密碼,僅通過回答安全問題并無法找回支付密碼。
3.今日上午支付寶進一步提高了風控系統的安全等級。目前僅在用戶自己的手機上,才能通過識別近期購買商品以及識別本人好友來找回登錄密碼,通過其他手機設備無法實現。
以下為支付寶回應全文:
我們接到網友反映,稱可以通過識別好友、識別近期購買物品,來找回支付寶登錄密碼。
這一方式僅在特定情況下才會實現。通常情況下,用戶找回登錄密碼至少需要輸入手機短信驗證碼。對于部分暫時無法收到短信的用戶或者更換移動設備的用戶,我們的風控系統會先進行評估(比如賬戶信息完整程度、網絡環境等因素)。在安全系數較高的情況下,才讓用戶回答一系列安全問題,只有在回答正確后,才能修改登錄密碼。
這一策略只能找回登錄密碼,僅通過回答安全問題并無法找回支付密碼。且一旦用戶支付寶在其他設備被登錄,本人設備會收到通知提醒。
為了更好提升用戶的安全感,在接到網友反映后,我們于今日上午進一步提高了風控系統的安全等級。目前僅在用戶自己的手機上,才能通過識別近期購買商品以及識別本人好友來找回登錄密碼,通過其他手機設備是無法應用這一方式找回登錄密碼的。
我們也歡迎用戶繼續對我們的安全策略提出意見和建議,我們會根據大家的反饋進一步完善和修正。
