1月10日一早,社交网络被支付宝的安全漏洞事件刷屏,不少用户晒出自己“攻破”熟人支付宝的截图。网传方式称,打开支付宝登陆登陆界面——输入熟人的支付宝账户(一般为手机号或者邮箱号)——点击忘记密码(支付宝随后会向手机号发送验证短信)——点击无法接收短信——支付宝界面出现识别熟人近期购买物品、识别好友的验证(均为9张图选1)——验证通过后即可修改登录密码。这意味着,只要熟知好友近期的购买行为和关系圈,就可以登录并修改好友的支付宝登陆密码;对于陌生人而言,也有1/81的概率登陆他人的支付宝账户。这让衣、食、住、行,消费、理财等等,都用一部手机来搞定的人们惊出一身冷汗,大家纷纷查看自己的支付宝账户是否正常。
针对这个消息,支付宝随即发布官方声明称,在接到网友反映后,已于1月10日上午提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登陆密码,通过其他手机设备无法应用这一方式找回登陆密码。而网传的漏洞仅在特定情况下才会实现。对于部分暂时无法收到短信的用户,或者更换移动设备的用户,支付宝的风控系统会进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。支付宝还称,这一策略只能找回登陆密码,仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登陆,本人设备会收到通知提醒。
警方提示广大网友,在账户安全的设置上,便捷和风险一直是一个跷跷板,越想便捷可能越有风险,建议大家采取以下措施,提高支付交易安全性:
1、使用安全产品。支付宝目前提供数字证书、支付盾、宝令等安全产品,安装之后,即使密码被盗,盗用者在没有证书、支付盾或宝令的情况下也无法操作资金,用户从而能避免资金损失。
2、加强密码防护。用户应尽量为支付账户设置单独的、高安全级别的密码,如果邮箱、微博、开心网的登录名和支付宝账户名一致,务必保证密码不同。此外,支付宝的登录密码和支付密码务必要设置成不同的密码,形成“双保险”。
3、不要点击不明链接安装不明文件,谨防木马、钓鱼袭击账户。网购过程中,要按照所在购物网站的正规购物流程进行购买,不要轻易点击卖家发送的不明链接进行购买和支付,让钓鱼和木马没有可趁之机。
4、绑定手机,使用手机动态口令。支付宝等网络支付账户都支持绑定手机并支持设定手机动态口令。用户可以设定当单笔支付额度或者每日支付累计额度超过一定金额时就需要进行手机动态口令校验,从而增强资金的安全性。
