支付宝现“熟人登录”漏洞

  ■本报记者徐晶卉　

　　昨天，一则关于“熟人可以篡改支付宝密码”的消息在网上流传，称熟人甚至可以100%登录你的支付宝。支付宝回应称这一策略只能找回登录密码，无法找回支付密码，随后升级了安全系统。　　

　　按照网上的漏洞提示，熟人只需要四个步骤就可以登录并篡改用户的支付宝登录密码：打开支付宝登录界面，输入账号后点击忘记密码，点击无法接收短信，然后选择熟人验证，就可以更改密码。记者早上在尝试时发现，在“熟人验证”环节，需要闯过两关，可能是淘宝买过的东西9选1，可能是好友验证9选1，也可能是地址相关信息，过关后就能成功修改登录密码。　

　　对此，支付宝方面随后回应称，通常情况下，用户找回登录密码至少需要输入手机短信验证码，只有对于部分暂时无法收到短信或者更换移动设备的用户，风控系统才会先进行评估，并在安全系数较高的情况下，让用户回答一系列安全问题，并修改登录密码。

　　支付宝方面强调，这一策略只能找回登录密码，仅通过回答安全问题并无法找回支付密码，且一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。不过，随后支付宝快速升级了风控系统的安全等级。支付宝方面表示，目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备无法应用这一方式。记者下午再次尝试后发现，“熟人验证”模式已经消失，取而代之的是，直接跳出了“绑卡验证”的方式。

　　上海交通大学密码与计算机安全实验室(LoCCS)安全研究团队做了相关问题的全面安全测试，相关负责人认为，基于相关用户信息的密码重置方案在特定场景下存在攻击面，但攻击者的攻击窗口受到实际情况限制较大，且在完成登录后再进行针对用户财产的操作会被支付密码进一步限制。　

　　猎豹移动安全专家李铁军认为，这次安全问题的关键是“常用设备的验证”被意外绕过了，至少系统应该知道本次登录是“常用设备”“新设备”，还是“偶尔登录的设备”，每一种登录情形，用不同的验证方式。

　　有安全专家表示，虽然从熟人登录的漏洞来看，这种情况不具备普遍性，但作为国内最大的第三方支付工具，任何漏洞的影响面都可能相当大，而且随着移动支付越来越频繁，支付宝有责任完善风控。也有安全专家指出，很多人丢失银行卡后会及时挂失，随着移动互联时代到来，人们生活已与网络账户息息相关，网友也应建立起给网络账户挂失的意识。