支付宝存在哪些漏洞

柳飞霜
2014-03-05 17:13:24

  支付宝存在哪些漏洞

  两名嫌犯张某、刘某,利用支付宝平台在账户改密业务中的漏洞,盗刷数家企业支付宝内的资金共20余万元。因涉嫌盗窃罪,目前他们被海淀区检察院批准逮捕。

  张某、刘某一起在淘宝上开网店。在开店过程中,二人发现修改其网店的支付宝用户名和密码时,只需在网上向支付宝客服提交电子版营业执照即可;支付宝客服对电子版营业执照的审核不严,很容易受理通过。

  二人发现这一漏洞后,就决定利用ps技术,伪造其他公司的电子版营业执照,提交修改密码申请,控制账户,盗窃资金。自2013年10月份以来,二人以上述方式盗取多家公司资金共计20余万元。

  继日前爆出支付宝遭盗刷、安全性存在漏洞的事件后,今日围绕支付宝又惊现一起危害余额宝用户资金安全的事件。3月4日下午13点39分,支付宝通过其官方微博账号发布提示称,百度百科收录的“余额宝”词条中所公布的余额宝人工服务热线实为诈骗电话,提醒广大用户不要拨打,并正在与百度百科积极沟通。至下午三点许,百度百科已修复词条内容。

  据了解,这已经不是支付宝用户第一次遇到诈骗事件。2月17日厦门何女士因支付宝快捷支付漏洞被诈骗4万余元;2月27日,凤凰资讯报道男子接假冒10086短信,余额宝半小时便被盗刷6205元;而3月3日,两名嫌犯张某、刘某利用支付宝平台在账户改密业务中的漏洞,盗刷数家企业支付宝内的资金共20余万元。

  2月28日,《人民日报》报道称,支付宝环节复杂,漏洞颇多。收购支付宝信息、伪造身份证、持假证办理手机卡、盗取支付宝账户余额等系列行为,在圈子里已有了专属名词,称作“洗宝”。洗宝现在已形成犯罪产业链,大量不法用户利用这一系列繁琐过程中的漏洞,大发不义之财。

  随着支付宝规模迅速膨胀,越来越多的诈骗伎俩在围绕着支付宝展开。日前爆出的支付宝存在技术漏洞或导致账户被盗,是支付宝推出之后出现的较为严重的安全性事件。有网友表示,骗子利用支付宝行骗的行为日渐猖獗,并不断通过各类平台展开各种形式的诈骗,这应该引起支付宝足够的重视。金融专家称,新型的互联网金融公司,一方面要增强自身安全的技术保障,一方面也要对用户网络支付的防范心理加强教导和疏通,速求发展情有可原,但切记不可操之过急。

  记者发现,这一破解极其繁琐,要历经破解手机开机密码、支付宝登陆密码、支付宝支付密码三道门槛,而这三道门槛又设置了多重不同的找回验证信息,最终记者的实验失败了。

  实测视频显示:作为“盗窃者”首先要破解手机的开机密码,这本身就几乎成为了不可能或者碰运气的事;

  接下来,假设手机没有开机密码或密码被破,在找回支付宝登陆密码的环节中,需要手机验证码和身份证号两项信息双重验证。这就是说,没有身份证号,小偷连支付宝都登陆不了。

  最后,再假设真的不走运被知道了身份证号,想转出支付宝里的钱还需要输入支付密码。从视频里可以看出,找回支付密码更加复杂,除了手机验证码和身份证,还需要验证安全问题或者银行卡卡号。

  这意味着,小偷需要同时知道这些验证信息,否则破译支付宝的可能性几乎为0。

  支付宝安全负责人表示:“支付宝是用户网上资金的一个重要管道,因此,资金安全一直是我们在设计产品和使用功能时考虑的重中之重。

  比如为什么设置登录密码和支付密码双重密码规则,当初也是出于安全的考虑。”

  如何保护好自己的支付宝安全 该负责人提醒用户:

  1、设置单独的、高安全级别的密码,如果邮箱、sns网站(如微博、人人网、开心网等)等登录名和支付宝账户名一致,务必要保证密码不同。

  2、设置不同的登录密码和支付密码;

  3、使用数字证书、宝令、支付盾、手机动态口令等安全产品

  支付宝方面表示,除了以上用户自我保护措施外,支付宝已联合平安保险全额承保,如果用户的账户发生被盗,支付宝100%赔付,且赔付金额无上限,最快24小时内赔付到位。这一承保范围涵盖支付宝快捷支付、余额、余额宝资金。

登录 评论一下