927      支付寶

支付寶炸了，快遞小哥都能刷走你賬戶的錢

1 月 10 日淩晨突發新聞，有網友爆料支付寶新漏洞，熟人幾乎可以百分之百修改你的登錄密碼，登錄支付寶後還可以直接用付款碼付款，支付寶賬單也可以刪除，支付密碼則可以用完整銀行卡號修改。經過我同事張信宇的試驗，確實可以輕鬆破解身邊女友的賬戶，成功修改密碼登錄。

知乎上也有相關的提問《如何看待支付寶 1 月 10 日被曝光的非密碼登錄模式下可能出現的賬戶安全風險？》，提問中給出了比較詳盡的破解方法：登錄手機賬號——忘記密碼——手機不在身邊——淘寶買過的東西 9 張圖片選 1 個——好友驗證 9 個好友圖片選 1 個——修改密碼——登錄成功。

退出自己的賬號，進入支付寶登錄界麵，輸入帳號（手機）後點擊忘記密碼。接收校驗碼的時候選擇無法接收短信。

選擇熟人驗證的方式，選擇該賬號主人認識的人和常用地址。

更改賬戶密碼，成功登錄。隨意使用免密支付和付款碼。得到銀行卡號或者刷臉登陸的動圖後可以修改支付密碼。

這裏的“熟人”不僅僅指的是你身邊的朋友，包括知道你地址、手機號、愛買什麼的淘寶店家和快遞小哥。另外，你的身份證號也不是什麼多難拿到的東西。

截至發稿前，好像支付寶已經修改了這個驗證方式：

有不少人都宣稱要把支付寶好友都刪了，這樣就不會有熟人驗證的尷尬和朋友圈行騙的事情發生了。

為了安全保險起見，建議你可以做以下幾件事：

1.餘額和餘額寶中的錢全部轉出

2.“我的-點擊最上方卡片-我的銀行卡-選擇銀行卡-右上角管理-刪除”

3.關閉小額免密支付：“設置-支付設置-免密支付-小額免密支付”

4.如果發現自己的賬號被登錄了，可以在“我的-設置-賬戶與安全-安全中心-急救包”中選擇快速掛失

但是還可以通過手機號和身份證號解除掛失。隻能不斷掛失解掛，直到綁定新的手機號。

5. 花唄額度調到最低的 500 ：“我的-螞蟻花唄-設置-額度設置”

6.購買支付寶內置的 2 元的賬戶安全險：“我的-保險服務”

7.登錄支付寶 PC 網頁版，設置安全問題

8.不建議設置刷臉登錄

目前支付寶螞蟻神盾局給出的回應：

最後更新：2017-10-08 01:38:37

  上一篇： 支付寶爆出高危漏洞 你的錢還安全麼

  下一篇： 真土豪 支付寶包下亞洲最大的巨型電子天幕發紅包