2017-01-11 13:52 运营商世界网 马哲/文
运营商世界网 马哲/文
据网友爆料,近日支付宝出现了新安全漏洞。通过“忘记密码”功能,用户的熟人可以登陆其支付宝,并直接扫码付款。甚至陌生人也有概率登陆成功。这一漏洞在1月10日上午导致了大规模的“黑客”狂欢,给用户安全带来了极大的隐患。10日白天,支付宝已对该漏洞进行了修复。
据了解,在这个漏洞下,要登陆他人支付宝账号,只需要选择“忘记密码“,然后选择“手机不在身边”,就可以简单地通过指出淘宝上买过的东西、指出哪个是用户好友两个问题成功登陆。随后,点击二维码付款,即可免密支付。不仅如此,他人登陆支付宝后还可看到每一笔款项往来、花呗等隐私信息。
不少网友抱怨,支付宝提供的两个验证问题太过简单。淘宝上买过的东西以及用户好友这些信息并不是仅有用户本人才知道的,生活中关系较密切的人也可以很方便地获知。
尽管支付宝快速修复了漏洞,但这一事件依然反映出了支付宝团队在安全意识上的薄弱。涉及经济的问题,再谨慎都不为过,但支付宝选择的验证方式是相当冒进的。除了这次漏洞涉及的熟人认证和商品认证之外,登陆时的扫脸认证也有一定隐患。
不仅如此,支付宝剥夺了用户的选择权和知情权。支付宝上线熟人认证功能后,从未告知用户可以通过这个方式重置密码,却悄无声息地将其设置为默认的验证方式。
一个更安全但也更麻烦的验证,应包含手机验证码、身份证号、银行卡号、密码保护问题。如果用户认为不需要这种强等级的认证保护,可以自行设置选择更简单方便的弱验证。这样,用户就能事先知道自己账户的安全等级,即使使用弱验证的账户被破解,也会有所准备。
从安全角度看,用户还是先关闭支付宝免密支付功能为好。同时,支付宝近期以来频发的负面新闻应给支付宝团队敲响警钟了,再这么粗心下去,用户就没办法放心地把财富寄存在这一平台上啦!
分享至:
文章关键词:
支付宝
