支付寶現“熟人登錄”漏洞

  ■本報記者徐晶卉　

　　昨天，一則關於“熟人可以篡改支付寶密碼”的消息在網上流傳，稱熟人甚至可以100%登錄你的支付寶。支付寶回應稱這一策略只能找回登錄密碼，無法找回支付密碼，隨後升級了安全系統。　　

　　按照網上的漏洞提示，熟人只需要四個步驟就可以登錄並篡改用戶的支付寶登錄密碼：打開支付寶登錄介面，輸入賬號後點擊忘記密碼，點擊無法接收短信，然後選擇熟人驗證，就可以更改密碼。記者早上在嘗試時發現，在“熟人驗證”環節，需要闖過兩關，可能是淘寶買過的東西9選1，可能是好友驗證9選1，也可能是地址相關信息，過關後就能成功修改登錄密碼。　

　　對此，支付寶方面隨後回應稱，通常情況下，用戶找回登錄密碼至少需要輸入手機短信驗證碼，只有對於部分暫時無法收到短信或者更換移動設備的用戶，風控系統才會先進行評估，並在安全系數較高的情況下，讓用戶回答一系列安全問題，並修改登錄密碼。

　　支付寶方面強調，這一策略只能找回登錄密碼，僅通過回答安全問題並無法找回支付密碼，且一旦用戶支付寶在其他設備被登錄，本人設備會收到通知提醒。不過，隨後支付寶快速升級了風控系統的安全等級。支付寶方面表示，目前僅在用戶自己的手機上，才能通過識別近期購買商品以及識別本人好友來找回登錄密碼，通過其他手機設備無法應用這一方式。記者下午再次嘗試後發現，“熟人驗證”模式已經消失，取而代之的是，直接跳出了“綁卡驗證”的方式。

　　上海交通大學密碼與計算機安全實驗室(LoCCS)安全研究團隊做了相關問題的全面安全測試，相關負責人認為，基於相關用戶信息的密碼重置方案在特定場景下存在攻擊面，但攻擊者的攻擊窗口受到實際情況限制較大，且在完成登錄後再進行針對用戶財産的操作會被支付密碼進一步限制。　

　　獵豹移動安全專家李鐵軍認為，這次安全問題的關鍵是“常用設備的驗證”被意外繞過了，至少系統應該知道本次登錄是“常用設備”“新設備”，還是“偶爾登錄的設備”，每一種登錄情形，用不同的驗證方式。

　　有安全專家表示，雖然從熟人登錄的漏洞來看，這種情況不具備普遍性，但作為國內最大的第三方支付工具，任何漏洞的影響面都可能相當大，而且隨著移動支付越來越頻繁，支付寶有責任完善風控。也有安全專家指出，很多人丟失銀行卡後會及時挂失，隨著移動互聯時代到來，人們生活已與網絡賬戶息息相關，網友也應建立起給網絡賬戶挂失的意識。