支付寶安全漏洞 通過“購物記錄、認識的人”找回密碼

今天上午，支付寶再次被曝出安全漏洞：陌生人有1/5的機會登錄你的支付寶，而熟人100%可以登錄你的支付寶，甚至可以不用原密碼直接用手機號就可以更改。

對此，支付寶官方剛剛給出回應：這一方式僅在特定情況下才會實現。且一旦用戶支付寶在其他設備被登錄，本人設備會收到通知提醒。

此外，支付寶表示，在今天上午接到網友反映后，我們也進一步提高了風控系統的安全等級。目前僅在用戶自己的手機上，才能通過識別近期購買商品以及識別本人好友來找回登錄密碼，通過其他手機設備是無法應用這一方式找回登錄密碼的。

對于這次的漏洞，移動安全專家是怎么看的呢？

獵豹移動安全工程師@李鐵軍 親自測試并嘗試還原支付寶熟人改密碼漏洞，他表示，這次安全問題的關鍵是“常用設備的驗證”被意外繞過了，至少系統應該知道本次登錄是“常用設備”、“新設備”、還是“偶爾登錄的設備”。每一種登錄情形，用不同的驗證方式。

此外他還透露：“我的支付寶里好友只有LP一個，不會添加任何人為支付寶好友，也絕不會拿支付寶做社交工具。余額永遠為0，余額寶一年的收益好象不到5塊錢。支付寶對我來說就是個交易通道，從不擔心被盜怎么辦。”

李鐵軍強調，如果與支付相關的應用可以在任意設備重置而不要求提供充分信息的情況下，安全風險就存在。

所以，一切便捷支付跟安全風險是相伴的。支付有風險，還需小心謹慎。