V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
youfang
V2EX  ›  支付宝

支付宝现重大漏洞:知晓熟人信息可篡改密码

  •  
  •   youfang · 2017-01-10 11:04:02 +08:00 · 4486 次点击
    这是一个创建于 2875 天前的主题,其中的信息可能已经有所发展或是发生改变。
    通过支付宝 APP 登录——选择“忘记密码”——选择“手机不在身边”——这时支付宝会让你选择“淘宝买过的东西”( 9 张图片选 1 个)——“你可能认识的人”( 9 个好友选 1 个)——只要选择对就可以重置密码了。
    28 条回复    2017-01-10 17:23:52 +08:00
    stevenkang
        1
    stevenkang  
       2017-01-10 11:07:33 +08:00
    亲测已经修改了几个同事的密码了,大部分 Android 手机来操作不行(目前同事的 Android 无一个成功的),小部分 iPhone 可以(目前就我的手机可以,其他的不行)
    youfang
        2
    youfang  
    OP
       2017-01-10 11:08:31 +08:00
    不知道微信支付有没有类似漏洞
    appppap
        3
    appppap  
       2017-01-10 11:09:44 +08:00 via iPhone
    太可怕。只验证两个信息就可以改密码了。
    csensix
        4
    csensix  
       2017-01-10 11:15:50 +08:00
    都说知晓信息了
    darrenfang
        5
    darrenfang  
       2017-01-10 11:21:34 +08:00 via iPhone
    刚刚试过,可以改密码😂
    p2227
        6
    p2227  
       2017-01-10 11:23:46 +08:00
    我觉得选择认识的人要对方确认才行的吧
    youyoumarco
        7
    youyoumarco  
       2017-01-10 11:30:25 +08:00
    两条验证信息验证完应该发送确认信息,确认完成后才能出现修改密码的选项。或者用户有权在个人中心设置中选择哪种方式找回及更改密码。这种应该算风控没做到位吧。
    hotStrip
        8
    hotStrip  
       2017-01-10 11:30:32 +08:00
    知晓熟人信息。你知道你朋友买的什么东西,和他的认识的人,这关系不算一般了吧,然后你会去改他密码盗他号?
    gam2046
        9
    gam2046  
       2017-01-10 11:32:26 +08:00
    尝试了一个,没成功

    首先选择忘记密码以后,没有“手机不在身边”的选项,而是直接发送短信验证码,只有一个“无法接收短信”选项。选择该选项后,直接进入人脸识别。

    至此,失败告终。
    youyoumarco
        10
    youyoumarco  
       2017-01-10 11:32:40 +08:00
    @hotStrip 骗子可能会间接利用这一点,支付宝的出发点是好的。
    loryyang
        11
    loryyang  
       2017-01-10 11:34:08 +08:00
    这里的最大问题在于,修改密码必须是本人,但是这两个条件约束和确认是本人差的还是有点远吧。怎么着也得连续看 5 个购买的东西,然后按照好友数量再看个几个
    gam2046
        12
    gam2046  
       2017-01-10 11:36:59 +08:00
    取消人脸认证后,出现一个选项,三选一:

    * 刷脸验证
    * 验证本人银行卡信息
    * 拨打验证号码

    其中“验证本人银行卡信息”会要求提供绑定了支付宝的银行卡卡号,系统会提示该支付宝帐号的户主姓名(例如 张*三)。

    其中“拨打验证号码”要求使用支付宝绑定的手机号拨打 13429102985 ,并提示在某个时间节点以前拨打有效。

    因此得出结果,短信验证与拨打号码均要求持有绑定的手机卡;另外只有两个途径可以重置密码,人脸与银行卡
    stevenkang
        13
    stevenkang  
       2017-01-10 11:42:17 +08:00
    https://ooo.0o0.ooo/2017/01/10/58745777a2a79.png

    https://ooo.0o0.ooo/2017/01/10/587458049f26a.png

    话说怎么添加图片
    whatfor
        14
    whatfor  
       2017-01-10 11:44:00 +08:00
    吓。。。我改 了。我自己的。。也通过了。。
    bk201
        15
    bk201  
       2017-01-10 11:48:35 +08:00
    这东西基本没法洗,为了便捷性牺牲安全性够愚蠢的。我觉得应该是阿里产品狗的锅。
    stevenkang
        16
    stevenkang  
       2017-01-10 11:50:54 +08:00




    重置同事的密码成功
    jiangdaohong
        17
    jiangdaohong  
       2017-01-10 11:52:44 +08:00
    更换设备登陆需要回答其他问题的
    darrenfang
        18
    darrenfang  
       2017-01-10 11:52:52 +08:00 via iPhone
    @darrenfang 试了几个同事的,基本都失败,需要回答验证问题,或是刷脸。
    smallaccount
        19
    smallaccount  
       2017-01-10 11:54:17 +08:00
    月饼厂其实比百度垃圾多了
    P233
        20
    P233  
       2017-01-10 11:54:24 +08:00
    我身边已经有两个成功案例了
    firefox12
        21
    firefox12  
       2017-01-10 12:03:04 +08:00
    听到的传闻 是 bug 已经 fix 了。但是对品牌的伤害那不是一点点,看来金服要上市前 事情会很多很多。
    qq7790586
        22
    qq7790586  
       2017-01-10 12:07:35 +08:00
    安卓最新版本测试,点击忘记密码,只会给手机发送验证码,没其他的
    hundan
        23
    hundan  
       2017-01-10 12:11:23 +08:00 via Android
    可以用身份证找回,而且身份证这东西是真的好找,特别是大学,到处让你留身份证和手机。不过这里所谓"重大漏洞"我觉得未免太标题党,知晓信息后拿到权限,这不是社工嘛
    khjian
        24
    khjian  
       2017-01-10 13:21:54 +08:00
    握草,试了试,太可怕了!
    sanp
        25
    sanp  
       2017-01-10 13:27:19 +08:00
    @stevenkang 全是女同事,而且名字也很有特色😂
    superdong
        26
    superdong  
       2017-01-10 13:27:48 +08:00   ❤️ 1
    据说内部早就不止一个人提这个问题了,遗憾的是支付宝团队认为这不是 bug ,而是一个 feature 。
    So ……现在引起了群愤,才被重视了。
    我很好奇产品经理会被这个锅吗?
    buckyRRRR
        27
    buckyRRRR  
       2017-01-10 14:22:20 +08:00 via Android
    @hotStrip 刚和别人合租了房子,为了交费方便互相加了支付宝好友,然后又帮忙代收了几个快递
    hotStrip
        28
    hotStrip  
       2017-01-10 17:23:52 +08:00
    @buckyRRRR 然而你并不能知道他的朋友圈和他买的是什么。只能靠猜
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1390 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 17:14 · PVG 01:14 · LAX 09:14 · JFK 12:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.