香港文匯報訊(記者 孔雯瓊 上海報道)內地網購的主要支付工具支付寶昨日被曝存巨大安全漏洞,個人賬號可以被熟人登錄並修改密碼。就此安全隱患,支付寶當天緊急回應,稱已提高風控系統安全等級,僅在自己手機上才能修改。業內認為,支付寶因擴張社交領域才會具有此漏洞。不過,縱觀市面上其他支付軟件,或多或少都存在一些隱患。
昨日凌晨,有人在內地知名社交網站上發帖指,熟人有100%機會可以登錄並修改支付寶登錄賬號密碼。之後多位網友紛紛試驗,發現只要在登錄手機賬號時選擇「忘記密碼」和「手機不在身邊」,便會進入驗證購買商品和驗證好友界面,如果是相互熟悉的熟人關係,很容易就會得知對方買過什麼,對方朋友又有哪些,輕易便可登錄他人支付寶。雖然成功率並不如曝光者說的100%,但也有8至9成的人都成功登錄了朋友或同事的支付寶。
回應稱已提高安全等級
支付寶昨日回應稱,接到反饋後已經提高了風控系統的安全等級,並要求僅在用戶自己的手機上才能通過識別近期購買商品以及識別本人好友來找回登錄密碼。支付寶還解釋,之所以可以通過驗證已購買商品和好友來找回登錄密碼,是在通過風控系統評估後才有的步驟,而且僅僅只能找回登錄密碼,不能獲得支付密碼。
但不少網友評論表示,其實只要可以登錄上支付寶,就能在線下付款時使用無需密碼的掃二維碼付款功能,因此感覺這個漏洞還是挺可怕。更有網友現身說法,稱他此前偷偷用熟人驗證的方式登錄過父母的支付寶。
社交導致風險 用戶憂心
目前多數業內評論認為,支付寶之所以會設置好友驗證環節,正是試圖在社交領域發展。支付寶具有添加好友的功能,而這些好友的來源可以是手機通訊錄中的人,更有支付寶推薦的「可能認識」的朋友,而那些人往往都是朋友的朋友,並不直接和用戶認識。一個原本以支付為核心的軟件,卻頻頻添加了許多並不知底細的「好友」,這讓很多用戶感到憂心忡忡。
其他支付軟件同有漏洞
另據了解,其他支付軟件或多或少也存在一些漏洞,微信支付並未有實名制認證,如果用戶信息不小心外洩,那綁定在微信支付中的銀行卡資金或其他財富都可被盜取。有用戶反映,正是因為微信沒有實名制,遇到過有人用他的名字和頭像照片去註冊一個新號,結果騙取了他好友信任給騙子轉賬。
另外,從國外進入國內移動支付市場的Apple Pay,也被曝可以綁定他人信用卡或者儲蓄卡來盜刷,曾有用戶接到騙子電話,謊稱銀行和他核對信用卡信息,結果在得到了該用戶信息和驗證碼後,當即盜刷了用戶卡中數萬元消費。