一点号三节课6小时前
本文作者付晓萌,三节课新媒体运营喵。三节课联合创始人黄有璨、布棉全程指导。
今日(2017年1月10日)凌晨,有知乎网友爆料,支付宝存在一个致命漏洞,陌生人有1/5的机会登录你的支付宝,而熟人甚至100%可以登录你的支付宝。我们第一时间对于该漏洞进行了体验和确认。经个人亲测,只需四步,我就成功地修改了我某位好友的支付宝密码(当然,在测试之前,我已经告知了对方,所以,对方是知情的)。真的,亲测有效。
一、修改好友密码的全过程
只要你添加过一个支付宝好友,你就会知道他的帐号,这个时候,填入这个帐号,选择“忘记密码”,你就可以进行到下一步了。
php?url=0FQoA2FW8c" alt="支付宝出现重大安全漏洞的事件始末与思考" />
当你选择了“忘记密码”并选择“下一步”之后,账号拥有者的手机会收到关于“校验码”的信息。但是,这个时候,操作者是可以选择“无法接受短信”的。虽然无论如何系统都会触发一条短信,但如果帐号拥有者没有及时看到短信,他是不会警觉,也完全不会知道自己的密码马上就会被修改的。
在操作端选择“无法接收短信”之后,系统会让你做一些“选择题”,选一个您“购买过的商品”和选一个您可能“认识的人”,这个时候,如果是你和帐号拥有者是熟人,TA平时的购买喜好和好友,你多试几次,应该还是很好选的。
而就算你对帐号拥有者不那么熟悉,理论上你也有一定概率可以顺利通过这个验证。
当然,如果你真的被卡在这个环节,也仍然还有出路。你可以点击上图“换个方式找回密码”。
这个时候,系统会给出一些选项,例如刷脸认证呀,回答问题呀等等。
但是,这里有个很可笑的事情:虽然刷脸验证页面上提示“要本人亲自刷”,但如果这个是根据本人和身份证照片的相似度来判断的.......就实在是太可怕了......
这个时候,顺利通过验证的你,已经可以重置对方的支付宝登录密码了。帐号拥有者这个时候会收到支付宝的消息提醒,但为时已晚......只能默默抱着手机哭了......
作为一款向来主打“安全、可靠”,以及保存了大量用户交易信息的应用,这样的漏洞,绝对可以算得上是“重大事故”级别的了。
至于“被盗号”可能具体意味着什么,支付宝有没有后续的防范措施来保证用户的安全等,大体是这样的――
支付宝中有一个“支付密码”,这个密码和登录密码是独立的,所以盗完号后如果不知道支付密码,理论上无法完成大额消费,但即便如此,你仍然可能会蒙受如下损失――
很多人的支付宝都设置了小额免密支付,所以,盗号者完全可以使用小额免密支付(虽然小额只限200元,但经不住多刷几个订单呀)使你损失一笔财产;
盗号者可能会向支付宝里的好友借钱,借到钱了你却不知道,还迟迟不还,会使你损失一票好友;
你的各种收货地址、关系人、电话都会被泄露;
你的花呗、余额宝、银行卡、付款码等信息也都可能会被泄露;
……
总之,只要不涉及到支付密码的(友情提示:支付密码不等于登录密码),全都可以操作。
作为帐号拥有者,如果你不幸发现自己被盗号了,你可以选择快速挂失,也可以按照上述的“修改好友密码的全过程”,将自己的密码抢回来。
进入支付宝客户端,点击【我的】→【设置】→【账户与安全】→【安全中心】→【急救包】→【快速挂失】→【立即挂失】。(友情提示:在此之前,请记得先将余额宝余额中的钱都转到银行卡里,然后解绑银行卡)
还有一件事是需要说明的――如果你的支付宝和淘宝密码是绑定在一起的,那么,你的支付宝密码被修改了,意味着你的淘宝密码也有很大几率被修改.....你不仅登不了你的支付宝,你还登不了你的淘宝......
对于如此重大的事故,自然引来关注无数,截止今日中午,几乎所有的互联网行业媒体和众多知名大V都第一时间跟进报道了此事,甚至在下午2点多的时候还惊动了人民网。
今天11:15分的时候,一位阿里员工就曾在知乎回答了“如何看待支付宝重大安全漏洞”的问题,称10几天前就在内网反馈过密码安全的问题,但据说是支付宝团队内部为了平衡体验和安全性的问题,就先把问题搁置了。
假设这一回答信息皆为真实,那么这一回答背后,也许颇具深意。
可以据此猜测:支付宝内部,一定长期背负着两个大的KPI,一个有关于“社交”,例如用户数关系对在线时间等,另一个则有关于“支付”,例如沉淀金额交易数量投诉数量故障概率等等。
毋庸置疑,这两个KPI的导向一定是截然不同,甚至有时会出现冲突的。对社交来说,互动才是关键,“安全”和“保障”并不那么重要。而对于支付来说,“安全”则是底线。
至少,从如上知乎回答中,我们能隐隐看到的一种心态,是支付宝内部可以认为一些跟支付相关的漏洞“问题没那么糟”,可以开始忽略掉一部分“支付”相关的保证和安全性。
我们尚无法得知这是官方的态度,还是支付宝某些团队内部的个人立场,但无论如何,这样的立场也许是令人担忧的――对于一款大量沉淀着用户资金的产品来说,居然可以容忍一个明明自己已经知道的安全漏洞存在,这让用户该做何感想?
在官方声明中,支付宝称更改密码是在特定情况下才会实现。通常情况下,用户找回密码是需要输入手机短信验证码的,但这部分的解释实在是太苍白无力,大家可以回顾一下上面我修改密码的全过程,我是直接可以选择“无法收到短信”而忽略这个环节的。
此外,在官方声明中也提到支付宝已在第一时间增加了常用设备检查。在忘记密码的情况下,在账号拥有者自己的设备上,只需要填写身份证号,即可成功登录。在其他登陆设备上,需要知道帐号拥有者的身份证号和银行卡信息,或是回答一些安全保护问题,或者是拿到了帐号拥有者的电话,也可以登录进去,并不涉及修改密码的部分。
这倒不失为一个成本最低且足够及时,能够一定程度上解决问题的回应。但被支付宝这么一折腾,还是感觉很不安全啊。
也不得不感叹一下,这一年,大家都说百度公关难,但其实支付宝公关也着实不容易啊!无论如何,我们先向他们致以诚挚的慰问吧。
从产品的角度来看,支付宝的找回密码逻辑,其实是属于通过“交叉验证”来判断用户身份的过程,这种交叉验证的模式,已经被很多产品采用了,最典型的是微信和淘宝。交叉验证的功能是好功能,但场景不同,适用性也是有很大不一样的。
交叉验证,有几个关键点,是这个功能能否成功的关键点。
1. 是否有可识别的点;
2. 可识别的东西,是否具有私密性;
3. 可识别的东西,对用户来说,是否有辨识度。
早期采用的大产品是微信,微信会在用户更换设备登录时,弹出一个“安全验证”的界面,你需要选择两个好友的头像后,才能登录成功。微信只是判断你是不是“人”“机”一体,如果是一体,则登录成功,但只能登录成功而已,不涉及到“修改密码”这一行为,所以是属于原有安全性提升,并无不妥,是加分项。
同样的道理,淘宝在PC端登录的时候,也会出现这样的验证方式,辅助登录,也无不妥,而且淘宝只是登录,进入后除了查看商品、退款等操作外,并没有太多涉及现金的操作,因为涉及现金的操作,是需要支付密码的。
而对于支付宝来说,采用了和淘宝类似的交叉验证方式,其实并没有问题,但问题在于,里面涉及到金钱的功能――“免密支付”,我进入到帐号,你之前只要开通了免密支付,我就可以把钱刷出来了,可以去消费了。
大家吐槽完支付宝,我们可以看看另外一个更奇葩的、不分场景照抄功能的经典例子――微博的交叉验证方式。
和微信类似的同样触发逻辑,同样的功能,微博让你通过选出你关注的好友的头像来完成交叉验证,但微博的好友关注是公开的,就算是个陌生人,找到了你的微博,照样也还是知道你的好友的啊,这不是搞笑么?所以大家在吐槽支付宝的时候,为什么没有那么大规模吐槽微博呢?又回到了本质原因,支付宝跟钱有关,这样的做法挑战了用户潜意识中“做金融的必须安全”的认知。
最后,微信、淘宝甚至微博,都只是通过交叉验证来辅助用户“进入”,而支付宝这次是可以直接修改密码的,这会造成帐号拥有者被踢下来的现象,问题是最大的。
所以,即便从“产品”层面来看,这样的密码逻辑和策略,也存在一定问题。至少从“典型用户场景”来看,我们认为是存在一些问题的。
四、总结
支付宝作为一个支付软件,和金钱这种超级隐私的东西挂钩,却老是搞一些危险的幺蛾子。之前六一时候的“改宝宝后缀”事件,就曾引发全民吐槽,虽然属于支付宝想给用户惊喜,但这次属于产品密码逻辑的问题,就有点不可原谅了。
从古至今,财产都是一个人最私密的事情,任何事一旦涉及到钱财,就会变得敏感。像我们之前说过的,本是背道而驰的两条路,硬要拽到一起,肯定是会有痛感的。支付宝想要占据社交平台这个入口,拼了老命要搞社交,这个可以理解,但,支付才是支付宝一直走下去的保障,而支付安全,则是支付宝最后的底线。一切的幺蛾子,都必须是建立在用户安全的基础上的。
网友也评价:之前一直不太使用微信支付,是总在心里觉得社交软件做支付不安全,万万没想到支付软件做社交才是大杀器啊......
以及,在今天,我们也在微博和朋友圈看到了有人因为支付宝今天的漏洞开始大量删除好友的情况存在。
这里倒是不由得替支付宝感叹一声:市场和运营们吭哧吭哧干了一两年走社交路线,集五福的活动推了那么多,AR红包和年度账单搞得红红火火,好不容易把好友加上去了,现在大家又要开始删好友了,颇有点一夜就要回到解放前的感觉,支付宝的朋友们,你们还好吗?(完)