这是一个创建于 2856 天前的主题,其中的信息可能已经有所发展或是发生改变。
通过支付宝 APP 登录——选择“忘记密码”——选择“手机不在身边”——这时支付宝会让你选择“淘宝买过的东西”( 9 张图片选 1 个)——“你可能认识的人”( 9 个好友选 1 个)——只要选择对就可以重置密码了。
 |
1
stevenkang 2017-01-10 11:07:33 +08:00
亲测已经修改了几个同事的密码了,大部分 Android 手机来操作不行(目前同事的 Android 无一个成功的),小部分 iPhone 可以(目前就我的手机可以,其他的不行)
|
 |
2
youfang OP 不知道微信支付有没有类似漏洞
|
 |
3
appppap 2017-01-10 11:09:44 +08:00 via iPhone
太可怕。只验证两个信息就可以改密码了。
|
 |
4
csensix 2017-01-10 11:15:50 +08:00
都说知晓信息了
|
 |
5
darrenfang 2017-01-10 11:21:34 +08:00 via iPhone
刚刚试过,可以改密码😂
|
 |
6
p2227 2017-01-10 11:23:46 +08:00
我觉得选择认识的人要对方确认才行的吧
|
 |
7
youyoumarco 2017-01-10 11:30:25 +08:00
两条验证信息验证完应该发送确认信息,确认完成后才能出现修改密码的选项。或者用户有权在个人中心设置中选择哪种方式找回及更改密码。这种应该算风控没做到位吧。
|
 |
8
hotStrip 2017-01-10 11:30:32 +08:00
知晓熟人信息。你知道你朋友买的什么东西,和他的认识的人,这关系不算一般了吧,然后你会去改他密码盗他号?
|
 |
9
gam2046 2017-01-10 11:32:26 +08:00
尝试了一个,没成功
首先选择忘记密码以后,没有“手机不在身边”的选项,而是直接发送短信验证码,只有一个“无法接收短信”选项。选择该选项后,直接进入人脸识别。 至此,失败告终。 |
|
10
youyoumarco 2017-01-10 11:32:40 +08:00
@hotStrip 骗子可能会间接利用这一点,支付宝的出发点是好的。
|
 |
11
loryyang 2017-01-10 11:34:08 +08:00
这里的最大问题在于,修改密码必须是本人,但是这两个条件约束和确认是本人差的还是有点远吧。怎么着也得连续看 5 个购买的东西,然后按照好友数量再看个几个
|
|
12
gam2046 2017-01-10 11:36:59 +08:00
取消人脸认证后,出现一个选项,三选一:
* 刷脸验证 * 验证本人银行卡信息 * 拨打验证号码 其中“验证本人银行卡信息”会要求提供绑定了支付宝的银行卡卡号,系统会提示该支付宝帐号的户主姓名(例如 张*三)。 其中“拨打验证号码”要求使用支付宝绑定的手机号拨打 13429102985 ,并提示在某个时间节点以前拨打有效。 因此得出结果,短信验证与拨打号码均要求持有绑定的手机卡;另外只有两个途径可以重置密码,人脸与银行卡 |
|
13
stevenkang 2017-01-10 11:42:17 +08:00
https://ooo.0o0.ooo/2017/01/10/58745777a2a79.png
https://ooo.0o0.ooo/2017/01/10/587458049f26a.png 话说怎么添加图片 |
 |
14
whatfor 2017-01-10 11:44:00 +08:00
吓。。。我改 了。我自己的。。也通过了。。
|
 |
15
bk201 2017-01-10 11:48:35 +08:00
这东西基本没法洗,为了便捷性牺牲安全性够愚蠢的。我觉得应该是阿里产品狗的锅。
|
|
16
stevenkang 2017-01-10 11:50:54 +08:00
  重置同事的密码成功 |
 |
17
jiangdaohong 2017-01-10 11:52:44 +08:00
更换设备登陆需要回答其他问题的
|
|
18
darrenfang 2017-01-10 11:52:52 +08:00 via iPhone
@darrenfang 试了几个同事的,基本都失败,需要回答验证问题,或是刷脸。
|
 |
19
smallaccount 2017-01-10 11:54:17 +08:00
月饼厂其实比百度垃圾多了
|
 |
20
P233 2017-01-10 11:54:24 +08:00
我身边已经有两个成功案例了
|
 |
21
firefox12 2017-01-10 12:03:04 +08:00
听到的传闻 是 bug 已经 fix 了。但是对品牌的伤害那不是一点点,看来金服要上市前 事情会很多很多。
|
 |
22
qq7790586 2017-01-10 12:07:35 +08:00
安卓最新版本测试,点击忘记密码,只会给手机发送验证码,没其他的
|
 |
23
hundan 2017-01-10 12:11:23 +08:00 via Android
可以用身份证找回,而且身份证这东西是真的好找,特别是大学,到处让你留身份证和手机。不过这里所谓"重大漏洞"我觉得未免太标题党,知晓信息后拿到权限,这不是社工嘛
|
 |
24
khjian 2017-01-10 13:21:54 +08:00
握草,试了试,太可怕了!
|
 |
25
sanp 2017-01-10 13:27:19 +08:00
@stevenkang 全是女同事,而且名字也很有特色😂
|
 |
26
superdong 2017-01-10 13:27:48 +08:00  1
据说内部早就不止一个人提这个问题了,遗憾的是支付宝团队认为这不是 bug ,而是一个 feature 。
So ……现在引起了群愤,才被重视了。 我很好奇产品经理会被这个锅吗? |
Select Language