支付宝出现重大安全漏洞的事件始末与思考

今日(2017年1月10日)凌晨,有知乎网友爆料,支付宝存在一个致命漏洞,陌生人有1/5的机会登录你的支付宝,而熟人甚至100%可以登录你的支付宝。
我们第一时间对于该漏洞进行了体验和确认。经个人亲测,只需四步,我就成功地修改了我某位好友的支付宝密码(当然,在测试之前,我已经告知了对方,所以,对方是知情的)。真的,亲测有效。
下面我们可以详细还原一下这个“成功修改你好友支付宝密码”的过程。
1
修改好友密码的全过程
第一步:忘记密码
只要你添加过一个支付宝好友,你就会知道他的帐号,这个时候,填入这个帐号,选择“忘记密码”,你就可以进行到下一步了。
第二步:无法接收短信
当你选择了“忘记密码”并选择“下一步”之后,账号拥有者的手机会收到关于“校验码”的信息。但是,这个时候,操作者是可以选择“无法接受短信”的。虽然无论如何系统都会触发一条短信,但如果帐号拥有者没有及时看到短信,他是不会警觉,也完全不会知道自己的密码马上就会被修改的。
第三步:找回密码
在操作端选择“无法接收短信”之后,系统会让你做一些“选择题”,选一个您“购买过的商品”和选一个您可能“认识的人”,这个时候,如果是你和帐号拥有者是熟人,TA平时的购买喜好和好友,你多试几次,应该还是很好选的。
而就算你对帐号拥有者不那么熟悉,理论上你也有一定概率可以顺利通过这个验证。
当然,如果你真的被卡在这个环节,也仍然还有出路。你可以点击上图“换个方式找回密码”。
这个时候,系统会给出一些选项,例如刷脸认证呀,回答问题呀等等。
但是,这里有个很可笑的事情:虽然刷脸验证页面上提示“要本人亲自刷”,但如果这个是根据本人和身份证照片的相似度来判断的…….就实在是太可怕了……
第四步:重置登录密码
这个时候,顺利通过验证的你,已经可以重置对方的支付宝登录密码了。帐号拥有者这个时候会收到支付宝的消息提醒,但为时已晚……只能默默抱着手机哭了……
作为一款向来主打“安全、可靠”,以及保存了大量用户交易信息的应用,这样的漏洞,绝对可以算得上是“重大事故”级别的了。
至于“被盗号”可能具体意味着什么,支付宝有没有后续的防范措施来保证用户的安全等,大体是这样的——
支付宝中有一个“支付密码”,这个密码和登录密码是独立的,所以盗完号后如果不知道支付密码,理论上无法完成大额消费;
总之,只要不涉及到支付密码的(友情提示:支付密码不等于登录密码),全都可以操作。
作为帐号拥有者,如果你不幸发现自己被盗号了,你可以选择快速挂失,也可以按照上述的“修改好友密码的全过程”,将自己的密码抢回来。
网络信息安全小调
“快速挂失”的步骤如下:
进入支付宝客户端,点击【我的】→【设置】→【账户与安全】→【安全中心】→【急救包】→【快速挂失】→【立即挂失】。(友情提示:在此之前,请记得先将余额宝余额中的钱都转到银行卡里,然后解绑银行卡)
2
支付宝的回应
对于如此重大的事故,自然引来关注无数,截止今日中午,几乎所有的互联网行业媒体和众多知名大V都第一时间跟进报道了此事,甚至在下午2点多的时候还惊动了人民网。
今天11:15分的时候,一位阿里员工就曾在知乎回答了“如何看待支付宝重大安全漏洞”的问题,称10几天前就在内网反馈过密码安全的问题,但据说是支付宝团队内部为了平衡体验和安全性的问题,就先把问题搁置了。
假设这一回答信息皆为真实,那么这一回答背后,也许颇具深意。
可以据此猜测:支付宝内部,一定长期背负着两个大的KPI,一个有关于“社交”,例如用户数关系对在线时间等,另一个则有关于“支付”,例如沉淀金额交易数量投诉数量故障概率等等。

支付宝被曝重大安全漏洞 该漏洞仍未被彻底”清除”

毋庸置疑,这两个KPI的导向一定是截然不同,甚至有时会出现冲突的。对社交来说,互动才是关键,“安全”和“保障”并不那么重要。而对于支付来说,“安全”则是底线。
至少,从如上知乎回答中,我们能隐隐看到的一种心态,是支付宝内部可以认为一些跟支付相关的漏洞“问题没那么糟”,可以开始忽略掉一部分“支付”相关的保证和安全性。

特朗普聘朱利安尼为网络安全顾问

互联网在网络安全上影响力还是非常大的,收购一些创新的安全小厂可以来扩大产品线和技能能力,以弥补安全产品线的不全。
我们尚无法得知这是官方的态度,还是支付宝某些团队内部的个人立场,但无论如何,这样的立场也许是令人担忧的——对于一款大量沉淀着用户资金的产品来说,居然可以容忍一个明明自己已经知道的安全漏洞存在,这让用户该做何感想?
不出意料的话,此事一出,有很大可能有人要背锅走人。核心就在于:它所影射和传递给用户的信息,实在太令人担忧。看看朋友圈那些声称“已经清空了支付宝帐号并卸载了支付宝”的消息你就知道事态的严重性了。
临近中午,支付宝官方也给出了正式回应,全文如下——
在官方声明中,支付宝称更改密码是在特定情况下才会实现。通常情况下,用户找回密码是需要输入手机短信验证码的,但这部分的解释实在是太苍白无力,大家可以回顾一下上面我修改密码的全过程,我是直接可以选择“无法收到短信”而忽略这个环节的。
且,即使帐号拥有者收到短信了,就意味着他看到了么?
此外,在官方声明中也提到支付宝已在第一时间增加了常用设备检查。在忘记密码的情况下,在账号拥有者自己的设备上,只需要填写身份证号,即可成功登录。在其他登陆设备上,需要知道帐号拥有者的身份证号和银行卡信息,或是回答一些安全保护问题,或者是拿到了帐号拥有者的电话,也可以登录进去,并不涉及修改密码的部分。

平潭消防支队开展消防安全知识宣传活动

这倒不失为一个成本最低且足够及时,能够一定程度上解决问题的回应。但被支付宝这么一折腾,还是感觉很不安全啊。
也不得不感叹一下,这一年,大家都说百度公关难,但其实支付宝公关也着实不容易啊!无论如何,我们先向他们致以诚挚的慰问吧。
3
从产品层面看支付宝的密码逻辑和问题
从产品的角度来看,支付宝的找回密码逻辑,其实是属于通过“交叉验证”来判断用户身份的过程,这种交叉验证的模式,已经被很多产品采用了,最典型的是微信和淘宝。交叉验证的功能是好功能,但场景不同,适用性也是有很大不一样的。
交叉验证,有几个关键点,是这个功能能否成功的关键点。
1. 是否有可识别的点;
2. 可识别的东西,是否具有私密性;
3. 可识别的东西,对用户来说,是否有辨识度。
早期采用的大产品是微信,微信会在用户更换设备登录时,弹出一个“安全验证”的界面,你需要选择两个好友的头像后,才能登录成功。微信只是判断你是不是“人”“机”一体,如果是一体,则登录成功,但只能登录成功而已,不涉及到“修改密码”这一行为,所以是属于原有安全性提升,并无不妥,是加分项。
同样的道理,淘宝在PC端登录的时候,也会出现这样的验证方式,辅助登录,也无不妥,而且淘宝只是登录,进入后除了查看商品、退款等操作外,并没有太多涉及现金的操作,因为涉及现金的操作,是需要支付密码的。
而对于支付宝来说,采用了和淘宝类似的交叉验证方式,其实并没有问题,但问题在于,里面涉及到金钱的功能——“免密支付”,我进入到帐号,你之前只要开通了免密支付,我就可以把钱刷出来了,可以去消费了。
4

总结
支付宝作为一个支付软件,和金钱这种超级隐私的东西挂钩,却老是搞一些危险的幺蛾子。之前六一时候的“改宝宝后缀”事件,就曾引发全民吐槽,虽然属于支付宝想给用户惊喜,但这次属于产品密码逻辑的问题,就有点不可原谅了。
本文转自“搜狐新闻”,由“集沙成塔”专栏整理。
长按识别以下二维码关注“集沙成塔订阅中心”,获得更多每日热门资讯!
微信扫一扫关注该公众号

客户至上,为了商业利益,产品供应商要妥协啊,一味妥协退让也不行,得确保客户正确地使用您的代码,至少不泄露给竞争对手。此外,还得使您的系统开发遵循国际标准和惯例,以及提升安全性。

猜您喜欢

安全意识博客
移动僵尸网络防范
借助云端EHS培训服务快速建立安全与健康检查培训体系
广告软件与免费的防病毒软件
GAMEPLAY COUPZ
信息安全意识培训模块