今天凌晨,有网友爆出了支付宝找回密码流程的一个新漏洞,凭此漏洞,可以说,相熟的朋友将有超有 50% 的几率登录你的支付宝并修改密码。
作为一款支付和金融工具,你有想过支付宝对你来说意味着什么吗?
就我本人而言,在我的支付宝上,不仅绑定了 3 张银行卡,1 张信用卡,还开通了花呗、借呗和小额免密功能,平常至少也有一两千的余额会躺在余额宝里给自己一个安慰。
可以说,支付宝几乎是承载了我的全部身家,一旦账号被盗,由于信用卡和借呗的存在,我甚至有可能直接负债。
但今晨,有网友爆料了支付宝找回密码流程的一个新漏洞,凭此漏洞,可以说,相熟的朋友将有超有 50% 的几率登录你的支付宝并修改密码。
按网友的说法,原理是这样的,首先在支付宝登录页面登录手机账号,选择忘记密码,再选择手机不在身边,这时支付宝就会开启验证功能,具体会要求你在 9 张图片中选择一款在淘宝购买过的产品,然后再在 9 个头像中选择一个好友,两项验证都成功既登录成功。
而在这里,解锁密码需要的必备条件只有三个,你的电话、你买过的东西和你的好朋友,那谁会有可能知道这些信息呢?目前来说就已经有淘宝卖家、快递小哥、你的同事和你的朋友这几个选项了。怎么样,是不是开始有一种浑身发冷的感觉了?
但是别怕,漏洞爆出的时间是在 1 月 10 日的凌晨,基本上有一小批人已经在支付宝解决这个漏洞前就尝试了一把当黑客的感觉了。但是现在,支付宝应急部门想必已经起床,此时你再尝试,就只能通过下图的几种方式来验证了,恩,看起来是不是安全了很多。
但虽如此,我却真的被吓到了,如上述所说,支付宝几乎就是我的全部身家了,而这也让我第一次意识到,支付宝已经不仅是一个手机 App 了,包括微信支付,它们就是手机上的银行卡,不,信用卡,是分分钟丢掉就可能被人盗刷威胁财产安全的存在。
我非常赞同知乎用户惊云在「怎么看待支付宝的熟人可以登录并篡改你支付宝密码的特性?」这一问题下的回答。
平心而论,支付宝在支付找回密码这块功能的产品经理做错了吗?没有。考虑到手机不在的情况,通过个人隐私信息来找回密码,其实是非常方便和有效的。然而,支付宝忘记了它本身捆绑的,与之核心功能相矛盾的社交功能。于是,我可以看到你平时买了啥,看到你平时买的东西分享了啥,我在现实中也可以知道你买了啥,可以看到你拆开包裹获得了啥。店家和快递员可以得到你的微信号,淘宝号,甚至也知道你买了啥。
金钱交易中最重要的东西:隐私,在这里非但没有被保护好,反而因为其社交功能,更大扩大化了。熟人社交,碰不得钱财。因为线上的便捷性而忽视线下的复杂性,是互联网最容易让人忽视的危险。
是的,支付宝的产品经理在设置找回密码流程时确实考虑了人性的因素,但这种人性化和便捷是建立在我登录自己账号的情况下,但如果我的账号正在被不法之徒破解呢?这种人性化岂不是就在便利他人?希望支付宝的产品经理能够意识到自己最本质的产品需求是什么,其实只有两个字,安全。
最后,如果你突然收到了支付宝发来的验证码短信,说明有人尝试登录你的支付宝账号,请立刻进入支付宝客户端,点击【我的】→【设置】→【安全中心】→【急救包】→【快速挂失】。
挂失可以阻碍任何人登录你的账号,并且阻止资金的转入转出。
另外还有机智的网友推荐了大家一种保险,「支付宝账户安全险」,只要 2.28,去买个心理安慰吧朋友们。
