(原标题:支付宝现"熟人登录"漏洞 官方:验证方式已升级)
新华社杭州1月10日新媒体专电(记者张璇)10日,有网友发帖称,支付宝存在一个新的致命漏洞,陌生人、熟人可以极大概率成功登录“你”的支付宝。
据该网友发布的截图显示,陌生人、熟人登录并篡改用户支付宝密码的步骤有:登录手机账号后点“忘记密码”;验证方式选择熟人验证;更改密码。在这一系列操作后篡改者即可登录成功,同时拥有用户支付宝的全部功能,且支持免密支付消费。
记者于10日12时左右登录自己10.0.1版本的支付宝,发现仍可进行以上操作修改新密码,熟人验证方式即淘宝买过的东西9张图片选1个、好友验证9个好友图片选1个。
针对上述情况,支付宝方面回应称,验证方式已升级,用户资金安全还是可以得到保障。支付宝官方微博10日11时56分紧急回应称,上述漏洞在“特定情况下”确实存在。“为了更好提升用户的安全感,在接到网友反映后,我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。”
网友“稻草人”表示,支付宝的这一风险设计的确让用户的安全感降到冰点,如果手机丢了简直不敢想象。网友“肉嘟嘟”则说,现在大家都基本默认开启了“小额度免密支付”,建议“付款码”还是要添加输密码或者指纹识别,提高安全等级。
事实上,关于登录,还有不少人对“刷脸登录”的安全性提出质疑。有分析人士认为,此次暴露的风险问题——“刷脸登录”、熟人验证等登录方式,都是支付平台增强便捷性的手段。浙江智能硬件联盟创始人曾珍云认为,“刷脸”本身的不便携性质和易变性,导致“刷脸”在一些领域还未能大规模使用。对一些保密性比较高的应用,“刷脸”等生物信息识别只可能是一种辅助验证方式。
截至2016年年底,支付宝官方公布的数据显示,有4.5亿实名用户在使用支付宝。浙江省社会学会会长杨建华说,伴随着交易方式的巨大变革,互联网支付安全近两年也成为了社会各界关心的热点,例如电信网络新型违法犯罪更是成为大家关注的焦点。支付宝作为覆盖中国支付用户数很高的平台,如果安全性与便捷性的博弈中,过度偏向便捷性,将带来极大的风险。
“便捷性”和“安全性”一直是金融领域不断摩擦、博弈的两个支点。杨建华说,如果想让自己的资金更加安全,那么必然会在便捷性上有所损失。支付宝要担当好这份社会责任和企业责任,在保证安全性的前提下,提高便捷性,在两者中寻找一个合适的平衡点。
(原标题:支付宝现"熟人登录"漏洞 官方:验证方式已升级)
本文来源:新华社新媒体专线
责任编辑:
王晓易_NE0011
