Ad Block Ad Block
本地
2017-01-11 06:00:00

簡易步驟即可登入 支付寶急提高安全等級

分享:

阿里巴巴關聯公司螞蟻金服旗下支付平台「支付寶」,近日被揭發有嚴重安全漏洞,只要知悉用戶帳號,就可藉「忘記密碼」功能,利用接收短訊以外的驗證方式修改密碼,然後登入,熟人「犯案」的成功率極高。支付寶昨緊急提高安全等級,不能再以非短訊方式在他人手機尋回登入密碼。


內地傳媒報道,有網民上月底已發現,可在輸入朋友的支付寶帳號後,點選「忘記密碼」,再點選「無法接收短訊」(圖1),便能藉點選支付寶好友圖片的「熟人驗證」(圖2)、點選曾在淘寶購買的物品圖片(圖3)、輸入真實姓名或身份證號碼等簡易驗證方式,前往重置密碼頁面(圖4),再登入該帳號,密碼和手機綁定的安全措施形同虛設。


有內媒以相關方法成功登入同事和朋友的支付寶帳號,並發現互不相識者有五分一機會成功登入,熟人則百分百成功;登入後即可使用支付寶所有功能,例如小額免密碼支付等,惟大額付款及轉帳則需另外輸入支付密碼。


網民轟對不起用戶信任
有網民認為,若遭「毒手」也只損失小額金錢,但有網民指出,「就算是1塊錢,那也是我的錢」,而且「向支付寶裡的好友進行詐騙還是可以的」。還有網民直言,即使這種漏洞僅能盜刷小額金錢,「我只在乎我的資金是安全的!放在支付寶我是放心的」,批評「數億用戶出於信任,把自己的財產託付給支付寶保管,這樣的做法對得起他們的信任麼?」

Ad Block


支付寶安全中心昨解釋,上述簡易驗證方式「僅在特定情況下才會實現」,支付寶風險控制系統會先評估帳戶資料完整度及網絡環境等因素,若安全系數較高,才會詢問安全問題,而且帳戶若被登入,擁有者的手機會收到通知。該中心又指,一般情況下,尋回登入密碼至少需要輸入手機短訊驗證碼,但為了提高用戶的安全感,昨早已提高支付寶安全等級,非帳戶擁有者的手機無法再以識別好友及購買過的物品來尋回登入密碼。

請接受以下私隱政策及免責聲明,以示你同意am730內之私隱政策及免責聲明。了解更多
接受