这是一个创建于 2856 天前的主题,其中的信息可能已经有所发展或是发生改变。
第 1 条附言 · 2017-01-11 14:51:13 +08:00
详细描述一下:
公司同事说能进入我的支付宝,我不信,然后打赌。
两分钟后阿里巴巴发短信说密码已更改,这时我的淘宝和支付宝都被退出登陆。
交易记录和余额宝的余额信息被泄露就不用说了。
原因:
公司财务把工资卡号统一每三个月在部门群里截图出来核对。手机号就不用说了。
然后,同事开始互相改密码,然后挂失支付宝。
后续:
支付宝挂失后,第二天发现,只要刷脸解锁,然后会收到支付宝短信,输入验证码就可取消挂失。问题是,我从来没用过刷脸,连指纹支付都不敢设。这又是怎么一会事?
我不怕一千万,因为:我打过支付宝客服电话后,承诺会给我个说法,到现在( 24 小时过去了)也没回复。我只是描述我的经历,没有任何虚假。
公司同事说能进入我的支付宝,我不信,然后打赌。
两分钟后阿里巴巴发短信说密码已更改,这时我的淘宝和支付宝都被退出登陆。
交易记录和余额宝的余额信息被泄露就不用说了。
原因:
公司财务把工资卡号统一每三个月在部门群里截图出来核对。手机号就不用说了。
然后,同事开始互相改密码,然后挂失支付宝。
后续:
支付宝挂失后,第二天发现,只要刷脸解锁,然后会收到支付宝短信,输入验证码就可取消挂失。问题是,我从来没用过刷脸,连指纹支付都不敢设。这又是怎么一会事?
我不怕一千万,因为:我打过支付宝客服电话后,承诺会给我个说法,到现在( 24 小时过去了)也没回复。我只是描述我的经历,没有任何虚假。
 |
1
P99LrYZVkZkg 2017-01-10 10:49:10 +08:00
短信验证码呢?
|
 |
2
finab 2017-01-10 10:51:06 +08:00 via iPhone
刚我同事在我没给任何帮助下的情况下,成功修改了我的密码。
|
 |
3
dcsite OP 我也是~ 密码随便就被同事改了,还直接登录了~ 不说资金了,隐私全无~
TMD 支付宝~ 销号,能用微信就用微信吧 |
|
4
dcsite OP @P99LrYZVkZkg 不需要任何验证码
|
 |
5
qinxi 2017-01-10 10:55:22 +08:00
我通过同事的身份号也进入他的重置密码界面~
|
|
6
P99LrYZVkZkg 2017-01-10 11:02:42 +08:00
公司的财务不是知道全公司的银行卡+手机号?包括 boss 的?
|
|
7
P99LrYZVkZkg 2017-01-10 11:03:20 +08:00
|
 |
8
murmur 2017-01-10 11:04:12 +08:00
 都怪你们 现在不给玩了 |
 |
9
appppap 2017-01-10 11:04:50 +08:00 via iPhone
还真是啊,随便点两张图片就能改密码了。
|
|
10
finab 2017-01-10 11:05:39 +08:00
@P99LrYZVkZkg 在他自己的手机上,方法是 ,输入我邮箱点找回密码,之后发手机验证码,点收不到,之后点 9 张图之一,里面有我同事,然后再点 9 张图,有我以前买的一个电高压锅,然后就可以设置新密码了。
|
|
11
P99LrYZVkZkg 2017-01-10 11:09:09 +08:00
@finab 修改以后在新设备登录需要手机确认么?
|
|
12
dcsite OP @P99LrYZVkZkg 不需要验证,直接登录。我同事只知道我银行卡和手机号,就登录进去了。
已挂失,打客服电话,他们也不知道,只说向上面反馈然后给我答复。 |
|
13
finab 2017-01-10 11:12:46 +08:00 via iPhone
@P99LrYZVkZkg 没登录,但是看别人试了登陆的 好像没有。
|
 |
14
admol 2017-01-10 11:16:28 +08:00
怎么操作的啊
|
 |
15
tghgffdgd 2017-01-10 11:21:17 +08:00
是不是这种情况还会被归到熟人作案不赔偿?
|
 |
17
justlikemaki 2017-01-10 11:33:10 +08:00
@admol 退出登录,忘记密码
|
 |
18
Halry 2017-01-10 11:36:38 +08:00 via iPhone
所以我把钱全部转到银行
|
 |
19
lihua1358 2017-01-10 11:39:12 +08:00
@justlikemaki 同一台设备上实验没啥说服力吧
|
|
20
justlikemaki 2017-01-10 11:42:53 +08:00
@lihua1358 应该还有同 ip 的校验吧
|
 |
21
Baymaxbowen 2017-01-10 11:45:16 +08:00 via Android
要是还玩社交那真的💊
|
 |
22
xvx 2017-01-10 11:51:19 +08:00 via iPhone
不知道我这种支付宝没加过一个好友的账号,能不能这样重置密码呢。
|
 |
23
venster 2017-01-10 11:51:58 +08:00 via iPhone  3
@Baymaxbowen 所以应该在朋友圈里赶紧说一下:马上删掉所有支付宝好友,要不然被盗了不赔偿。
|
|
24
justlikemaki 2017-01-10 11:52:12 +08:00
需要银行卡的验证也是要手机收银行的验证码的吧
|
 |
25
xycool 2017-01-10 11:55:26 +08:00
准备好了两千万吗?
|
 |
26
loading 2017-01-10 12:04:07 +08:00 via Android
新设备存在这个问题吗?
|
 |
27
chmlai 2017-01-10 12:11:24 +08:00
支付宝不是号称大数据风控吗
|
|
28
Baymaxbowen 2017-01-10 12:12:11 +08:00 via Android
@venster 已经把钱全部转出来了,随他了,已经不打算在里面放钱了,不知道这波支付婊要亏多少
|
 |
29
iCyMind 2017-01-10 12:17:33 +08:00 via iPhone
网友: BA 一直致力于让 T 成为一家受人尊敬的企业
|
 |
30
Wy4q3489O1z996QO 2017-01-10 12:23:27 +08:00
@Halry 然而小额支付不需要密码,照样能从你卡里面取钱~
再也不敢鄙视那些不敢往支付宝、微信上绑定银行卡的人了... |
 |
32
z742364692 2017-01-10 12:43:48 +08:00 via Android
@dcsite 这肯定是自己的信息泄露嘛,怎么能怪支付宝,支付宝是粑粑啊,你们这些屁民真是的
|
 |
33
wolfan 2017-01-10 12:59:16 +08:00
话说,这个,银行会不会用这个 Bug 把咱的小钱钱全转回银行?
|
 |
34
saggit 2017-01-10 13:01:47 +08:00
支付钱包做社交有风险啊。
|
 |
35
Jimrussell 2017-01-10 13:06:34 +08:00 via Android
你同事和你都连着公司的 WiFi 么??
|
 |
36
onlyhot 2017-01-10 13:06:41 +08:00 via iPhone
之前我发帖还没人理,淘宝小二可以直接冻结支付宝余额,而且支付宝账户明细看不到记录。我已经把钱全转到银行卡了
|
|
37
Jimrussell 2017-01-10 13:06:53 +08:00 via Android
|
 |
38
xfspace 2017-01-10 13:11:27 +08:00 via Android
hhh ,阿里系全家桶采集了多少数据来保证这个“安全问题”。
|
 |
39
echopan 2017-01-10 13:39:31 +08:00
我把支付宝挂失了 gg
|
 |
40
Infernalzero 2017-01-10 13:47:07 +08:00
其实这事的性质和 61 的时候那个宝宝事件差不多,贵宝的产品经理太喜欢搞些刷存在感的功能而忘记了自己本应该干什么
|
 |
41
WenJimmy 2017-01-10 13:49:44 +08:00
话说回来,怎么销号?
|
 |
42
salary123 2017-01-10 13:53:52 +08:00 1
这哪门子漏洞,,早就知道可以这么做。
|
 |
44
zhtubo 2017-01-10 14:08:34 +08:00
支付寶風控系統已升級.
 |
 |
45
Quaintjade 2017-01-10 14:11:43 +08:00
其实同一台设备上能操作并不算设计缺陷,因为设备指纹是一个验证因素,银行卡 /手机号 /过去购买的产品作为另外的验证因素,已经算是多因素验证了。
我上次裱支付宝是因为它曾经自己吹牛说,即便同一台设备只要使用者不同它都能分辨出来,然而并不能。 另一个就是它吹牛说自己还有保险能兜底,给用户虚假的安全感,然而许多条件都会导致“疑似熟人作案”不予理赔。 |
 |
46
hecter777 2017-01-10 14:14:47 +08:00 via Android
那么问题来了,怎么彻底销号,然后渣宝还有什么方便的付款方式?
|
 |
47
zangev5 2017-01-10 14:29:23 +08:00
支付宝已草拟好好多份 ten million 的起诉书。
|
 |
48
yukiww233 2017-01-10 14:54:53 +08:00
要同一台设备
还要知道支付密码或是开小额免密...这和银行卡被人拿到还被知道密码好像也没多大区别 不过支付鸨推荐开小额免密确实是傻逼 |
 |
49
leavic 2017-01-10 15:17:07 +08:00
支付宝是不是把原来做支付的团队都开掉了,让做社交团队的接手了?
|
|
50
leavic 2017-01-10 15:20:00 +08:00
为了更好提升用户的安全感,在接到网友反映后,我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。
=============== 呵呵,我回头看看支付宝怎么销号,反正现在京东用得多了。 |
 |
51
lc4t 2017-01-10 15:27:22 +08:00 via iPhone
2 年前发现了淘宝和支付宝都有这个问题..算是个社工可破的逻辑缺陷.. 然后并不改
|
 |
52
SuperMild 2017-01-10 15:27:39 +08:00
我还是相信支付宝,因为它在风口浪尖,有 bug 马上被闹得沸沸扬扬,然后 bug 就被修复了,我感觉这也是安全啊。
|
 |
54
Ouyangan 2017-01-10 15:32:33 +08:00
支付宝 , 很脑残的产品 , 不再信任了.
|
 |
55
trythebest 2017-01-10 15:37:27 +08:00
哈哈,月饼事件呢位安全兄弟说,后悔了吧,出事了吧。
|
 |
56
imn1 2017-01-10 15:49:48 +08:00
@trythebest
支付宝:三个月后又是一条好汉,你们哪次嚷嚷有超过三个月的,上次全部去打一星也就几十天而已,成不了气候。下架我都不怕,还怕嚷嚷么? |
 |
57
benmao 2017-01-10 17:59:20 +08:00
不信任就不要用。。天天就会瞎 BB
|
 |
58
cheny95 2017-01-10 18:34:24 +08:00
 |
|
59
Quaintjade 2017-01-10 18:43:24 +08:00 via Android
@yukiww233
从支付宝自己的公告来看,应该是今天才改成限同设备的,之前好像是加了好友的都可以用这方法。小额免密应该有许多人开着,毕竟支付宝自己是推荐开的。 |
 |
61
daniellu 2017-01-10 20:19:45 +08:00
某乎很多人早试过了,不同网络,不同平台,不同手机,都可以的,只是很多人知道的晚,据说早上 10 点之后,就不能简单的点好友或者点买过的东西直接进去了。其它方式应该还是有逻辑漏洞的。
|
 |
62
KirkZheng 2017-01-10 20:20:40 +08:00 via Android
自从变成支付婊果断弃用,要么现金,要么微信,一个支付工具那么多乱七八糟的功能。实名认证取消不了让我有点没安全感。
|
 |
63
ichigo 2017-01-10 21:58:21 +08:00
iv2ex 不用支付宝不是政治正确吗,不是很多人早就根本不用支付宝吗,为什么还是这么多人出来又声称一遍卸载支付宝?难道之前的卸载又装回去了吗?这是诈尸吗?
|
 |
64
honeycomb 2017-01-10 22:01:38 +08:00
@ichigo
--iv2ex 不用支付宝不是政治正确吗? 应该是的 --不是很多人早就根本不用支付宝吗? 应该是的 --什么还是这么多人出来又声称一遍卸载支付宝? 这是个新人 --难道之前的卸载又装回去了吗? 新人之前并未卸载过 --这是诈尸吗? 因此不像是诈尸 |
 |
65
cos 2017-01-10 22:36:20 +08:00
所以说,网络支付工具还是别绑定银行卡,别存现金,支付时通过网银付款。当然,搞了实名认证的,仍存在风险,那就是花呗之类的贷款工具。。。。
|
 |
66
ichubei 2017-01-10 22:46:56 +08:00 via Android
支付密码和登录密码不同
|
 |
67
taoyu1994x 2017-01-10 22:49:42 +08:00 via Android
@finab 不过只是登录支付宝吧?如果要支付还是要支付密码
|
 |
68
peneazy 2017-01-10 23:19:09 +08:00
还有啥安全的互联网产品。。
|
 |
69
mingyun 2017-01-10 23:46:12 +08:00
吓得我赶紧把支付宝卸载了
|
 |
70
ooh 2017-01-11 00:11:01 +08:00
我记得支付宝好像有个验证码是要找出下面哪个是你认识的人,我只想对想出这个招数的 PM 说一句 nmb ,反正我记忆里我一次都没有找到哪个是我认识的人
|
 |
71
FreeDog 2017-01-11 08:08:28 +08:00
@leavic 昨天连上地铁公共 Wi-Fi 时不小心打开了京东金融,发现余额以及赎回页面被插入小广告了。。可见还是 HTTP 的页面,可以被拦截和篡改,这也太不安全了。
|
 |
72
m939594960 2017-01-11 09:53:03 +08:00
@benmao 这和你行你上的观点有什么区别?真的弱智。
|
|
73
benmao 2017-01-11 13:25:59 +08:00 via iPhone
@m939594960 就你不弱智 你聪明的猪脑袋怎么没看你去阿狸那里解决实际问题
|
|
74
dcsite OP @z742364692 银行卡和手机号能有多隐私?我承认很多人都知道我这两个信息。
|
|
75
z742364692 2017-01-11 14:37:21 +08:00
@dcsite
回复这个干嘛啊,看看就过去了嘛 |
|
76
m939594960 2017-01-11 15:39:00 +08:00
@benmao 呵呵,我用个东西还得想怎么帮这个东西解决实际问题?
|
|
77
benmao 2017-01-11 16:43:42 +08:00 via iPhone
@m939594960 多嘴不是你的错 臭嘴就是你的错喽 是不是小学基础素质教育没学好?跑这里来喷粪了?
|
|
78
m939594960 2017-01-11 17:58:58 +08:00
@benmao
第一:你的账号应该是降权了,应该没少被人 block ,你 @ 我我根本收不到,还得到帖子里来找。 第二:是你先臭嘴的。 我觉得这个 APP 不行我还不能说了?还不能讨论了?还不能让他改进了?我非得自己做出来一个?你这思维弱智就弱智吧,你还说别人瞎 BB 。 |
 |
79
Khlieb 2017-01-11 21:04:14 +08:00 via Android
看样子阿里表面上为安全下大力气,实际却在捞钱上下的功夫远比真正投入到客户安全上面的多
|
|
80
benmao 2017-01-11 23:02:18 +08:00 via iPhone
@m939594960 无脑男 估计也就说的你这种 喷子越来越多 回家多补点钙粉
|
|
81
m939594960 2017-01-12 09:01:21 +08:00
@benmao 哈哈 谁是喷子,谁无脑?你可真的搞笑啊。
|
 |
82
yueloong 2023-05-06 10:43:27 +08:00
保价不是卖家的事吗?买家扫什么码!
|
Select Language