首页
社区
课程
招聘
支付宝快捷支付有漏洞,记者亲测5分钟盗刷2万
发表于: 2013-8-25 14:16 3794

支付宝快捷支付有漏洞,记者亲测5分钟盗刷2万

2013-8-25 14:16
3794
http://itbbs.pconline.com.cn/soft/50502910.html
2013-08-22

开通快捷支付?小心安全漏洞!密码可轻易破解,卡内资金瞬间流失

记者实验:5分钟可“盗刷”2万元 专家观点:网络支付验证平台要注意保密

“无需网银,只需关联您的信用卡或借记卡,每次付款时只需输入支付宝支付密码即可完成付款……”这是支付宝快捷支付的宣传广告语。快捷支付在给市民带来方便的同时,也给市民带来了安全的困扰,部分使用支付宝“快捷功能”的客户遭遇网络盗刷,与支付宝绑定的银行卡资金被“蚂蚁搬家”。支付宝在自己的网页上还列出了近期因为被盗刷而理赔的案例,最大一笔资金达到9492.24元。

记者根据网上的一些提示,对快捷支付手段做了一次安全实验,发现了一些值得注意的安全漏洞。

实验:“捡到”手机后,五分钟内盗刷2万元
为了验证网上流传的“快捷支付存在安全问题”是否真实,记者做了一个实验,模拟在“捡到”一部手机之后,如何破解密码并刷取卡内资金。首先,记者拿起同事的一部手机,当然前提是这部手机已经绑定了支付宝快捷支付,并且假设记者并不知道该同事的其他信息。下面是记者的实验过程:

第一步:记者打开支付宝的登入界面,在账户名一栏记者看到输入手机号码或邮箱地址的提示,而这两个信息拿到手机的人都会知道,记者点击旁边的忘记登录密码,并尝试这个手机的号码或手机里面的QQ邮箱是否已注册支付宝账号,记者尝试后知道,这个手机的号码就是支付宝的账号。

第二步:接下来是输入手机验证码,当你点击发送手机验证码时,会有一组六位数字的验证码发到这个手机上,这时只要你输入这组数字,就可以进入更改密码的界面,记者由此完成对密码的修改。

第三步:知道支付宝账号和密码后,记者登入这个账号的支付宝界面,在账户管理的界面里,记者可以看到这个账号上面的余额,还能看到这个账号绑定了中国银行卡。记者同样运用找回密码这一功能,用这个手机接到的验证码将绑定的银行卡快捷支付密码更换。

第四步:记者接下来通过快捷支付转账,输入新的支付密码后,成功转出中国银行规定的最高额度两万元。记者看了一下时间,从开始操作修改密码到完成转账,记者只用了5分钟时间。

随后,记者又让同事修改银行卡密码。但是记者发现银行卡密码被修改后,支付宝账户绑定的银行卡付款操作并未受到任何影响。这意味着,开通快捷支付后,万一手机被盗,绑定的银行卡很容易遭到盗刷,即使用户修改了银行卡的密码也无法阻止盗刷。

▲8月21日,记者使用同事的手机成功进行身份验证,获取验证码。

问题在哪:身份验证平台是关键
完成这些后,记者也觉得不可思议,资金的安全钥匙如此轻易地被一一破解,到底问题出在哪里?

在实验过程中,记者也发现,这次实验的成功也存在偶然性,第一是手机的主人就用手机号码作为支付宝的账号,让后面的密码寻找成了可能。第二就是手机的主人并没有添加支付宝的付费保障手段。所以记者才能用一个手机就能破解手机主人的支付宝账号密码和绑定的银行卡账号支付密码。

记者就这一现象请教了中国银行湖南省分行电子银行部门的一位专家,他告诉记者,目前金融已经进入网络时代,各种网络支付手段都会使用到移动验证或邮箱验证,上面出现这样的情况就是因为手机这个验证平台出现了问题,并且手机主人使用手机号码作为了支付宝账号,所以才造成了资金账号的安全问题。

支付宝回应:在同一局域网内确实存在被盗刷风险

对于此事记者打电话咨询了支付宝的工作人员,支付宝公关部的相关人士并没有否认记者所做实验的真实性,只是一味强调支付宝没有安全漏洞。

支付宝公关部的相关人士认为,记者的实验设定在特殊环境内,如果实验不在同一局域网络内操作,就不会出现这种情况。她表示,“目前基于支付宝智能风险管理系统的保护,消费者在通过手机方式找回账户密码时,系统会根据账户当前操作环境的安全等级判断,给出不同的解决方案。一旦系统检测到安全风险,则需要手机验证码、身份证号码等多重信息的验证。因而如是单纯的手机丢失,则造成支付宝账户资金被盗的可能性极小。”

对于记者提出的由熟人短暂借用或者占用手机后,在手机主人平时操作的局域网络内进行操作造成的安全问题,支付宝公关部的这位人士则强调这是一个道德风险问题。“这是一个道德问题,如果出现这种情况,出现损失的支付宝用户应该在第一时间报警。”该相关人士表示。

提醒:验证平台要保密
有问题应冻结支付宝

专家表示,网络金融时代,搞清楚这些金融支付手段非常重要,如果没有安全防备心理,很容易出现安全漏洞,给人以可乘之机。在使用网络金融平台时,可从以下几个方面进行防范:

在平时登录支付宝时,取消“记住用户名”、“十天内自动登录”等设置。

选择只有自己知道的邮箱作第三方认证通道。网络金融时代除了密码之外,有一个认证渠道很重要,修改密码这样的操作都会经过这个平台进行认证,所以建议选择一个隐蔽的只有自己知道的认证平台,比如,市民可以选用只有自己知道的邮箱作为认证渠道,而这个平台也会起到像密码一样的保护作用。

设定消费限额。银行业内人士指出,持卡人最好对绑定快捷支付的银行卡进行限额设定,这样可以避免更大的损失。

如果遗失手机,出现安全隐患后,又该如何处理呢?中行专家表示,这时候修改银行卡密码是不行的,这时候最先要做的是打电话给支付宝客服,冻结自己的支付宝账号,然后冻结支付宝绑定的各银行卡的账号,还需对自己的手机号码进行挂失,防止其他绑定手机的业务出现安全问题。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 95
活跃值: (84)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
太可怕了~~~
2013-8-27 15:15
0
游客
登录 | 注册 方可回帖
返回
//