支付宝存致命漏洞 手机丢失可能导致钱款被盗_新浪上海
支付宝存致命漏洞 手机丢失可能导致钱款被盗
东广新闻台fm90.9评论
　　东广聚焦，换个话题。 “捡到他人手机后，任何人都可以仅通过取回密码的方式破解支付宝的登陆和支付密码，从而盗走资金”。这是前段时间，网上质疑支付宝安全问题被热传的帖子内容。阿里巴巴小微金融服务集团首席风险官胡晓明曾通过支付宝官方微博回应称，这种说法纯属谣言。那么，绑定支付宝的手机丢失后，到底会不会影响账户安全？东广记者汤丽薇邀请技术专家测试证实，致命漏洞确实存在！来听她的报道。
　　【记者和技术人员张忠辉共同进行了一系列测试。首先将一个没有设置锁屏密码的手机交给张忠辉，他尝试进入这个手机的支付宝账号，但是几番测试下来发现单凭一个手机就想进入支付宝几乎是行不通。但是如果你的手机和装有身份证和银行卡的钱包同时丢失或者被盗后，那么要想转走支付宝里的钱，全过程不需要5分钟：
　　(点击进入一个找回登陆密码的界面，(短信音)然后发送给我一个短信校验码，然后通过输入短信校验码以后，我们就可以进到一个更改登陆密码的界面，现在需要我们输入一个信息就是身份证号码，因为我们前面已经获取了这样一张身份证，所以我们可以用身份证的号码来重新更改登陆密码。)
　　支付宝有登陆密码和支付密码两道防线，而且两个密码在设置之初都要求不能一样，因此登陆支付宝后，还要攻破的就是支付密码：
　　(找回支付密码，这时候系统提示我们要输入两个信息，该卡绑定的身份证和银行卡，就可以更改支付密码的界面。然后再通过支付宝的提现转账功能，转移到任何一张银行卡内，比如把10块钱转到自己的银行卡中，现在系统显示，已经转账成功。)
　　大约12分钟后，张忠辉的手机接到一条短信提示，有10块钱已经转入名下。再来看看腾讯的理财通，经过一番测试，理财通优于支付宝的是，里面的钱只能转到手机持有人原来所绑定的银行卡中，别人无法转走。不过由于微信支付里还有手机充值和微信红包以及商城业务，因此在与支付宝几乎同样的操作下，完全可以通过手中的银行卡和身份证号码更改微信支付密码，从而盗用里面的金额。
　　不过，支付宝和微信的客服告诉我们，如果真的发生盗刷它们都提供全额理赔：
　　(支付宝：如果万一你的资金确实有损失，余额宝的资金目前都是全额承保的，没有上限。
　　微信：我们也是有保险的，我们会进行核实，然后全额赔付的)
　　现在我们的担心或许可以减少一些，首先手机和钱包一起丢的概率本身就不高，再者反正有理赔。不过，为了防止麻烦，最好还是做好安全防范。记者咨询了众多安全专家，得到的一致建议就是必须给你的手机装上大门锁，那就是锁屏密码：
　　(拿了之后锁屏密码解不开，只能刷机，刷机之后里面的资料也就丢失了，您的资料肯定是安全的。)
　　当然锁屏密码千万别设成是4个1或者几个0，否则不刷机也很容易破解。
　　其实，对于移动互联网时代的安全问题，金山毒霸安全专家李铁军认为不要因为今天出一个什么刷宝产业链，或者明天出一个手机中毒理财通金额被盗刷等新闻就杯弓蛇影，在PC端，在现实生活中银行卡直接被盗刷的事也很多见：
　　(只要用户及时的发现或者冻结自己的账号就可以。但是安卓手机病毒去拦截手机短信这种案例是最多的，它应该是2013年对网民影响最大的病毒，防范手段很关键就是用户的意识，你在聊天购物，对方给你发链接发二维码，让你安装下载软件，这个都非常危险，只要你避免不安装就不会受骗。)】网络安全之支付宝转账被骗如何及时挽回损失?网络安全之支付宝转账被骗如何及时挽回损失?海泉娱乐不停百家号我们都知道信息时代已经来临，更多的网络安全问题日益显著。今天我们就来说说支付宝刷单被骗，支付宝转账被骗等等事件屡屡发生在身边，有时候你防不胜防的就发生在自己身上。网络的发展给人类打开了方便之门，但同时也为那些网络诈骗分子创造了一个不小的犯罪平台，有很多人上过当受过骗，但又有多少人能利用法律的手段来维护自己的利益呢？假如你上网受骗了又该怎么办呢？首先我们想到的应是要用法律保护自己，应当及时向网络公安机关报案，及时提供重要线索及资料，协助警方破案，抓获犯罪嫌疑人，追回被骗钱财被骗案例：日13时许，李女士突然接到一个130开头自称是淘宝客服的电话，询问李女士在淘宝网上买的运动鞋质量如何，其他顾客反映鞋子穿起不舒服，现在商家准备退款，如果李女士穿着不舒服就可以马上退款。正打算退货的李女士就按照对方所说的方法进入支付宝的芝麻信用退款。点击“信用生活”中的“招联金融”，并点开此网址，并按提示输入银行卡号和其他信息，随后对方给李女士发来了的验证码，李女士就输入验证码，大约过了一两分钟，其手机就接到邮政银行发来的扣款1760元的信息。这时，李女士才如梦初醒，意识到被骗了，就急忙拨打电话向谢家湾派出所报案。同年市民冯女士反映，此前在某电商平台衣品天成旗舰店购买一件衣服，半月后接到自称客服人员的电话说衣服质量有问题，要回收衣物并退款。在该客服的指导操作下，冯女士被骗2600多元。该电商客服表示，平台绝不会透露买家信息，并会配合警方调查。同年4月1日，荣昌市民吴先生被莫名的一个催还支付宝贷款的电话惊出了一把汗，一名冒充“支付宝客服”的骗子给他打电话说其在支付宝有一笔5万元的贷款即将到期，如果不尽快还款， 将记录征信档案。吴先生信以为真，按照要求将自己的支付宝条形码数字泄露给对方，结果被盗刷1000元。被盗刷被骗案例屡屡发生，我们该如何防范这些骗局在自己身上发生呢？下面我们就来讲述如何防骗的十八招1、余额宝火热 警惕资金被盗警方提醒购买“余额宝”等网络理财产品需注意资金安全。不法分子可能通过钓鱼网站、木马、二维码或手机软件植入病毒、异地冒名补办电话卡后更改支付宝密码等方式窃取他人支付宝密码，盗走账户资金。2、小心山寨网站 别把“李鬼”当“李魁”山寨网站以近似的名称或网页,冒充正规证券公司、网购平台、银行网站等,实施诈骗。网民在网上进行投资、交易、资金操作时一定要认真分辨网站真假，避免被骗。3、未激活信用卡也有被盗刷危险一种针对长期未使用未激活的信用卡进行盗刷的犯罪值得警惕。犯罪分子通过网络购买银行开卡人信息，通过伪造身份证等方式到银行冒名补办受害人信用卡后进行盗刷。民警提示：对未使用的信用卡请及时注销，妥善处置。4、网上订货小心合同诈骗网上订货存在合同诈骗风险。犯罪分子虚假注册公司骗取客户信任，通过传真方式签订合同，要求客户支付预订款后才能发货，然后冒充物流公司称货物已运达某地，客户需将货物余款缴清后才能将货物送达，客户打款后却发现钱货两空，销售和物流公司均已无法联系。5、网购限时抢购 别轻信倒卖者网上限时限量抢购某热门产品，因抢购难度大，产品市场需求高，专门从事抢购商品后加价转卖的倒卖者应运而生。但是一些倒卖者却以假充真，而购买者因对商品的迫切需求，购买前可能忽视验证倒卖者所售商品真伪最终上当受骗。6、投资创业 合同代工、养殖需谨慎宣扬低门槛、轻松创业的合同代工、养殖类业务，如圆珠笔芯代工、蝎子养殖公司回购等，很多存在合同诈骗可能，民众投资创业需谨慎。7、私募基金“稳赚不赔” 勿轻信一些诈骗犯罪打着“海外投资”的旗号，以跨国公司为包装，以私募股权的方式实施诈骗，通过好友介绍，自制网站，宣扬“稳挣不赔”等骗取受害人信任。警方提醒：投资需谨慎，“稳挣不赔” 勿轻信。8、内幕炒股 谨防有诈不法分子常以某某证券公司名义向股民介绍“合作炒股”，称只需缴纳一定费用即可获得股票内幕信息，稳赚不赔，但在股民付款后，不法分子却立刻消失不见。若遇到此类情况，股民应谨慎对待，谨防有诈。9、临进毕业 大学生找工作警惕传销临近毕业，传销组织常伪装成正规公司针对临毕业大学生发布招聘员工或兼职信息，或以熟人形式介绍临毕业大学生从事高薪工作等。大学生找工作，需认真核实公司情况。10、警惕以养老产业为名 非法吸收公众存款在国家扶持养老服务产业的背景下，一些不法分子以发展养老地产的名义，通过虚假宣传、承诺高额回报等方式非法吸收公众存款，民众在参与养老服务时需谨慎。11、警惕以零首付购车办卡为名实施诈骗所谓“零首付购车办卡”，是指犯罪嫌疑人通过事先帮受害人预垫付购车首付款，承诺可办下大额透支信用卡用于偿还车贷的方式，骗取受害人信任后，与受害人签订高息车辆抵押借款合同骗取车辆，在车辆骗取后再通过黑市变卖，给受害人留下一身车贷。12、警惕以办理“新农保”为名实施诈骗今年，我省个别农村地区出现不法分子假冒政府工作人员，以办理“新型农村社会养老保险”为由，实施诈骗的情况。此类案件中，犯罪嫌疑人假冒政府工作人员，以“内部操作”为噱头，以“最少的钱获得最高的回报、多买多得”为诱饵，选择远离城镇，信息相对较闭塞的偏远农村为作案地，作案对象多选择年纪50岁以上的中老年农民。13、警惕网上代购进口小儿药品存隐患不法分子打着“德国家庭常备药品”、“德国政府指定宝宝必须服用品”等旗号，在网上售卖未经国家食药监部门审批的进口小儿药品。业内人士表示，国外的药品未必一定适合中国人的体质，而中国人的用药量也是和外国人不同的，患者按照外国人的用药剂量服用，用药后的安全无法得到保证。有些产品可能是假药，导致延误患者病情。14、警惕利用境外公司股权转让实施合同诈骗不法分子多以境外“咨询投资公司”名义，开展所谓资本运作、风险投资、创新金融等“高收益”投资活动，实际却虚夸公司价值，骗取投资人投入巨额资金。警方提醒，企业应增强风险识别和防范能力，呼吁企业家理性投资。15、警惕不法分子以挂靠为名骗用群众医保卡实施医保诈骗犯罪分子以提供挂靠、帮助缴纳“四金”为诱饵，吸引老百姓挂靠，之后，利用有的医院方便群众代配药的规定，使用挂靠人员医保卡到医院代开用于治疗肝脏疾病、糖尿病、抑郁症等病症的昂贵医保药品并转卖牟利，同时冒用医保卡持有人名义向医保管理部门申请综合减负报销并据为己有，非法获利。警方提醒，不要轻易出借医保卡，以免被不法分子利用牟利。16、警惕不法分子利用车友会进行保险诈骗一些不法分子利用车友会（俱乐部）获取会员车辆发生事故的信息，并与车主取得联系，要其保管好损坏的零部件，之后到熟悉的修理厂将其安装在自己车辆上，通过伪造交通事故骗取保费。17、谨防以提升信用卡信用额度为名实施诈骗一些不法分子利用想要赚取手续费的中介机构诱骗受害者，以帮助提升其信用卡信用额度为名，骗得受害人的信用卡、密码和身份证复印件等资料后进行套现，涉嫌信用卡诈骗犯罪，侵犯公民财产，扰乱正常金融秩序。18、健康知识讲座推销药品 或不可靠一些所谓专家名医或公司常举办针对老年人的免费健康知识讲座，并借此推销特效药、保健品。但这些讲座常存在夸大药效虚假宣传，甚至药品本身便是假药的情况。消费者需警惕。19、二维码别乱扫 小心手机中圈套不法分子通过二维码生成器将包含有病毒、木马或手机吸费软件等网址生成二维码图形，伪装成打折、游戏等信息诱导用户扫描，用户扫描并上网后手机就会中毒，导致手机信息泄露，话费被扣等。20、投资理财高额利息需警惕天上不会掉馅饼，你打投资高息回报主意，骗子打你投资本金主意。不法分子通过开设投资理财等公司，推出所谓高收益率理财产品，承诺每月固定收益，骗取民众购买，通过“后吸”资金支付“前吸”到期本息的方式持续诈骗，直至犯罪收益达到其预期后便卷款潜逃，投资者资金被骗一空。警方提醒：投资理财高额利息需警惕。本文仅代表作者观点，不代表百度立场。系作者授权百家号发表，未经许可不得转载。海泉娱乐不停百家号最近更新：简介:明星，八卦，娱乐，一起来秀作者最新文章相关文章扫一扫，慧博手机终端下载！
热门关键字：
支付宝损失8个亿，马云马化腾遭遇重大利空
央行周五宣布，自4月17日起，支付机构应将客户备付金按照一定比例交存至指定机构专用存款账户，以防止支付机构挪用、占用客户备付金，保障客户资金安全，并引导支付机构回归业务本源。首次交存的平均比例为20%左右。央行表示，许多支付机构通过扩大客户备付金规模赚取利息收入，偏离了提供支付服务的主业，一定程度上造成支付服务市场的无序和混乱，破坏了公平竞争的市场环境，也违背了人民银行许可其开展业务的初衷。甚至有支付机构借此便利为洗钱等犯罪活动提供通道，也增加了金融风险跨系统传导的隐患。通俗来说，就是以后大家在网上购物，付出去的钱都将统一存储在指定的账户，央行帮忙看着，支付机构不得挪用、占用，更不准偷偷吃利息。就在新规宣布后不久，支付宝方面明确表示：以第三方支付为代表的互联网金融，是在央行及各级监管部门的关注和支持中蓬勃发展起来的。支付宝坚决拥护本次央行的新规定，这一政策的出台，有利于行业长期、健康、可持续的发展。一个健康发展的行业需要各方的关注和支持，更需要监管。微信支付方面回应称：财付通（“财付通”旗下支付业务涵盖微信支付、QQ钱包等）方面表示，将积极配合、主动落实本次央行发布的新规。截至2016年第三季度，267家支付机构吸收客户备付金合计超过4600亿元，利息收入占机构总收入比例接近10%，其中网络支付机构占比超过11%。什么是“客户备付金”？首先，我们来了解下，什么是“客户备付金”。我们在某宝购物时，为了保证资金安全，买家付款并非直接进入卖家账户，而是先存放在平台账户，这笔钱就是“客户备付金”。不过，由于从买家付款，到等待收货，再到最后确认付款，中间会有一个时间差，这样就会形成一个巨大的资金沉淀。根据央视此前的报道，这部分资金在银行账户里面产生的利息收入，占到了支付机构总收入的11%。如下图所示。但是这些支付机构从来都没跟消费者说过有这个利息。于是乎，央行站出来说话了，这些机构要回归主业，做好服务，不能靠吃利息来挣钱。那么，各位小伙伴，知道客户备付金是多少吗？根据央行的统计，目前支付机构将客户备付金以自身名义在多家银行开立账户存放，平均每家支付机构开立客户备付金账户13个，最多的开立账户达70个。截至2016年第三季度，267家支付机构吸收客户备付金合计超过4600亿元。另据商务部最新统计的数据，月，网络零售交易额为4.6万亿元，同比增长26.2%，其中实物商品网上零售额占社会消费品零售总额的比重达到12.5%。为何要客户备付金集中存管？央行自2010年就颁发了《非金融机构支付服务管理办法》及其实施细则，并配套发布了《支付机构预付卡业务管理办法》《支付机构客户备付金存管办法》《中国人民银行关于建立支付机构客户备付金信息核对校验机制的通知》等一系列专项制度文件。去年10月13日，人民银行又会同13部委印发《非银行支付机构风险专项整治工作实施方案》，指出央行将对客户备付金实行集中存管。而央行给出的意见是，由于“客户备付金的规模巨大、存放分散，存在一系列风险隐患。同时，许多支付机构通过扩大客户备付金规模赚取利息收入，偏离了提供支付服务的主业，一定程度上造成支付服务市场的无序和混乱。”具体体现在以下四点：一是客户备付金存在被支付机构挪用的风险。二是一些支付机构违规占用客户备付金用于购买理财产品或其他高风险投资。三是支付机构通过在各商业银行开立的备付金账户办理跨行资金清算，超范围经营，变相行使央行或清算组织的跨行清算职能。甚至有支付机构借此便利为洗钱等犯罪活动提供通道，也增加了金融风险跨系统传导的隐患。四是客户备付金的分散存放，不利于支付机构统筹资金管理，存在流动性风险。其中关于第三点原因，此前央视援引中国支付清算协会副秘书长亢林表示，目前支付机构在多家银行开立帐户，多头链接形成事实上的支付清算组织机构的职能，实际就是从事了中央银行跨行转接清算的这种功能作用。实际上它是违法从事了跨行业务清算这个职能作用。也就是说，经过长期的发展，目前支付机构不仅兼具了商业银行的部分职能，还兼顾了央行的某些职能。而国务院此前发布的《互联网金融风险专项整治工作实施方案》中就已提及，非银行支付机构不得连接多家银行系统，变相开展跨行清算业务，这意味着已经连接了多家银行系统的支付机构将面临整改压力。财新网此前报道，自从2008年金融危机以后，各国央行将场外衍生品交易中登记结算纳入场内监督管理，在金融市场基础设施原则（PFMIs）下，一国的跨行支付清算安全性是中央银行的当然职责，由中央银行或由接受中央监管的清算机构提供跨行清算服务是理所当然。支付机构怎么办？统计显示，目前支付机构客户备付金有较大部分（2016年第三季度为42%）以非活期存款形式存放。而根据央行规定，自日起，支付机构交存客户备付金执行以下比例，获得多项支付业务许可的支付机构，从高适用交存比例。具体如下。具体缴纳方式上，支付机构应交存客户备付金的金额根据上季度客户备付金日均余额与支付机构适用的交存比例计算得出，每季度调整一次，每季度首月16日完成资金划转（遇节假日顺延）。此外，商业银行为支付机构交存的客户备付金不计入一般存款，不纳入存款准备金交存基数。同时，对于交存至专用存款账户的客户备付金，支付机构在日间可以使用，通过委托备付金交存银行办理支取，但须在当日营业终了前将支取部分补齐。此外，人民银行正在指导中国支付清算协会组织建设非银行支付机构网络支付清算平台，通过该清算平台的支撑，未来支付机构只需开立一个银行账户即可办理客户备付金的所有收付业务。不过，根据央行的规定，支付机构应将部分客户备付金交存至指定机构专用存款账户，首次交存的平均比例为20%左右，最终将实现全部客户备付金集中存管。新政对支付宝的影响到底有多大？央行数据显示，支付机构的备付金余额近3年增加了近3倍。截至2016年第三季度，267家支付机构吸收客户备付金合计超过4600亿元。按照活期利息（0.35%）推算，客户备付金每年产生的额外收益约为16.1亿元。支付宝在支付领域的市场份额在50%以上，若按照上述央行数据计算，蚂蚁金服在这块的收益损失应为8.05亿左右。而日前，21世纪经济研究院发布的《2016 中国电商消费行为报告》中预计，我国电子商务交易额超过25万亿，如果每笔交易给支付机构带来的资金沉淀期是7天，那么即便按照活期利息推算（0.35%），客户备付金每年产生的额外收益高达16.8亿元。按此数据计算，蚂蚁金服在这块的收益损失为8.4亿左右。因此，8亿元应该是个相对比较准确的数据。这8亿多元的损失是否会让蚂蚁金服伤筋动骨呢？有媒体为此专门致电蚂蚁金服，就客户备付金在2016年产生的活期收益以及占支付宝的净利润比例进行求证，但没有得到后者的具体答复。《广州日报》的一篇报道曾在2016年4月份预估，蚂蚁金服2015年的税前利润应在30亿至50亿元人民币之间。有支付行业人士认为，即使未来蚂蚁金服的利润大幅增长，蚂蚁金服因《通知》实施而造成的利润损失也不会低于10%，央视财经此前也曾报道，如果所有“客户备付金”最终都采取这种处理方式，支付机构将损失11%的收入。不过这笔资金并非是一刀切,《通知》中提到日起，支付机构交存客户备付金执行以下比例，获得多项支付业务许可的支付机构，从高适用交存比例。网络支付业务在日起，按以下比例交存客户备付金： 12%（A类）、14%（B类）、16%（C类）、 18% （D类）、20%（E类）。如果按照12%的比例交存的话，支付宝首次交存的金额并不会太高，损失有限。如此看来，《通知》虽然会在未来砍掉支付宝一大笔利润，但是短期内不会对蚂蚁金服的财报造成太大的影响。不过有行业人士认为，对于包括支付宝在内的支付机构将会因为客户备付金集中存管而降低对银行的议价权。你的钱包可能会有影响哦说了这么多，还是要回来说说我们自己，毕竟掏钱买东西的是我们自己。央行的新规实施后，我们会不会有什么影响？答案当然是：有！！！公开数据显示，央行目前发放的第三方支付牌照达到了267张左右。2016年8月至当年底，央行相继公布了三批获得续牌的支付牌照，累计数量92张。此前有分析称，整个支付行业竞争激烈，因此交易手续费一直相比商业银行有明显优惠。但是在经历了多次调整后，包括支付宝、微信都相继在部分领域进行收费。那么，这一次客户备付金制度实施后，对于这些支付机构而言，原本占收入11%的利息收入都将不复存在，而这部分收入估计最终只能让广大的“剁手党”来贡献。ID:PayPedia
免责声明：本网站资讯由计算机自动采集于网络、报纸、杂志等其它媒体，如侵犯了原作者的版权，请来信告知，本站将立即删除。
我要点评此资讯
打开微信，点击底部的"发现"，
使用"扫一扫"即可将网页分享至朋友圈。
推荐给朋友:
以上行业显示为大行业分类，点击进入可选择细分行业
12345678910
12345678910
客服电话：400-806-1866
&&&&客服QQ：1223022
&&&客服Email：
Copyright@ Microbell.com 备案序号：冀ICP备号-2
京公网安备：37
本网站用于投资学习与研究用途，如果您的文章和报告不愿意在我们平台展示，请联系我们，谢谢！支付宝被盗刷理赔范围 涵盖所有直接损失
头条粉丝：10万+
微信粉丝：30万+
希财网订阅号
微信粉丝：15万+
微信粉丝：12万+
支付宝被盗刷理赔范围 涵盖所有直接损失
唐建文&&&&&&
&&&&&&来源：希财网
如今许多人生活都离不开支付宝，同时也让支付宝的账户安全变得愈加重要，那么支付宝如果被盗刷的话理赔范围是哪些呢，希财君今天就帮大家总结一下。支付宝账户的理赔方式目前支付宝账户有两种保障方式，账户安全保障和支付宝账户安全险，前者是每个支付宝账户默认开通的，后者需要用户主动去花钱开通。两者在理赔方式上略有不同，默认的理赔每个用户仅可享受一次，赔付一次后就失效了，并且会停止你的部分支付宝功能使用。而账户安全险则不限次数，最高可赔偿100万，并且还有专属的理赔流程和服务。支付宝被盗刷的理赔范围根据官方信息公布，支付宝被盗刷的理赔范围包括余额，余额宝，快捷支付，招财宝资产，理财资产等所有因被盗发生的直接损失。像余额、余额宝这类资金如果被盗刷了都会进行赔付，包括花呗被消费，此外如果别人用你的支付宝绑定的银行卡消费，由此产生的损失也会赔付，当然必须是通过支付宝的快捷支付来进行支付的才行。如果是银行卡在其他途径被盗刷的不包括在内，这个需要用户自行购买银行卡安全险。除此之外，如果因为手机丢失而导致的资金损失也会赔偿。总结：从上面可以看出，支付宝被盗刷的理赔范围还是比较宽的，所有的直接损失都会进行赔付，而且在支付宝里面还有许多可以供用户自行购买的保险，如上面提到的银行卡安全险等。所以资金放在支付宝里面还是很安全的，当然大家平时也应该保管好自己的账户，别以为有理赔就肆无忌惮啦。
扫一扫“希财理财”，福利满满等你来！
专业的产品测评，贴心的理财攻略，及时的平台资讯，更有超高的红包活动，统统一手掌握。
微信公众号：希财理财(xicaiwang-p2p)
【原创声明】凡注明“来源：希财网”的文章，系本站原创，任何单位或个人未经本站书面授权不得转载、链接、转贴或以其他方式复制发表。否则，本站将依法追究其法律责任。
风险提示：广告信息均来自平台方，不代表平台安全性，不构成投资建议！红包、体验金、理财金、大礼包、加息券、满减券、优惠券等都不直接等同于现金。参考收益说明不是收益承诺，不代表最终真实收益。理财有风险，投资需谨慎！支付宝漏洞为何引发如此恐慌？ - iDoNews
> 支付宝漏洞为何引发如此恐慌？
支付宝漏洞为何引发如此恐慌？
maomaobear
近日，支付宝的密码修改漏洞引发了公众关注。有网络媒体爆出，掌握你一些信息的熟人可以轻易利用你的信息登录你的支付宝，甚至陌生人也有可能在任何时间任何地点登录你的支付宝，转移你的资金。消息一出，引发了恐慌，因为支付宝除了余额，还有借呗、花呗等信用消费功能，转移走支付宝的资金并不能保障安全，这让大众非常震惊。好在支付宝反应还算迅速，在1月10日上午迅速做了功能升级，不再允许陌生人通过验证个人信息的方式修改密码。这次问题是怎么发生的?支付宝的产品经理犯了什么错误呢?我们来看一下。一、 我们的资金安全是如何被保障的以前，人们的财产都兑换成黄金、白银放在家里。后来有了银行，人们把钱存到银行里面。银行在电子化之前，验证方式是真人携带证件到场，核对人与证件。在电子化之后，有了银行卡。安全的核心就变成了银行卡与密码的双验证。对用户来说，在开通网上支付之前，只要银行卡不丢，密码不泄露，存款就不会有损失。无论其他人知道用户多少信息，对用户如何了解，只要拿不到卡，拿不到密码就无计可施。而银行卡的挂失需要本人携带身份证到柜台，这又是一个很难绕过去的身份验证。这套体系保障了我们的资金安全。而到了互联网时代之后，情况发生了变化。银行开通了网上银行业务，其他人不需要你的卡，只要知道你的卡号和密码也能支取你的资金。密码是私密信息，但卡号不是，卡号虽然不是到处都可以看到，但是要刻意去查并不困难。以前银行卡与密码的双重保障，就变成了密码的单加密，用户的资金完全依赖于密码，这无疑是不安全的。于是，银行又搞出来手机验证，在预留手机的情况下，把手机与银行卡一样，视为个人物品，用手机验证码做了一个双重安全保障。这样，网络支付，还是密码、手机验证双重保障，如果密码泄露或者手机丢失，都不会造成资金安全的损失。大部分账户的资金安全都是这样被保护的。二、 网络支付的问题最初，像支付宝这样的网络支付安全体系与银行是类似的，也是密码和手机的双重保护，区别仅仅是手机短信，变成了手机APP。用户如果手机丢了，捡到手机的人不知道密码，进不去支付宝，甚至连支付宝的账户名都不知道(当时支付宝的账户名还是电子邮件注册。)而随着业务的发展，网络支付为了快捷方便，安全方面的监管越来越松。先是复杂密码给支付宝强制改为简单密码，然后登录的图形加密被取消。支付宝和微信支付甚至开通的银行快捷支付，只要关联上，你的银行卡可以直接付款，银行的加密过程被绕过去了。如果你在支付宝或者微信支付绑定了银行卡，就等于你所有财产都依赖于支付宝或者微信支付的体系。而支付宝和微信支付的体系不如银行那么强，它们没有线下柜台身份验证来解决丢失密码或者手机的问题。对于忘记密码、丢失手机，支付宝想出来的解决办法是用个人信息来重设密码，这就出现原则性的错误。三、 支付宝的原则性错误支付宝这次引起恐慌，是因为密码能被绕过。用户忘记密码，支付宝给的解决办法是手机短信验证，这个问题不大，类似于密码、手机双保障中丢了一个，用另外一个去验证。但是，在手机不方便接收短信的时候，支付宝给的另外一条路问题就很大了。对于银行来说，卡丢了，密码不知道，带着身份证本人去柜台验证，这是安全的。而支付宝想的办法是，你可以属于身份证号来验证，你可以选择最近购买的东西，选择你认识的人来验证，可以输入银行卡号来验证。然后就可以把原来的密码给改了。这个想法犯了原则性的错误。密码是私密信息，手机是个人私密物品。但是身份证号不是私密信息，而是公开信息，很多地方会留身份证，银行卡号也类似;最近购买了什么东西也不是私密信息，从淘宝卖家到送货小哥，从同事到朋友圈的朋友都会知道;认识的人更不是私密信息，特别是支付宝涉足社交的情况下，你认识的人，你的同事同学邻居都可能认识。最后的结果就是，只要掌握一个人公开的，半公开的非隐私信息。这个人的支付宝密码、手机验证码就都可以绕过去了，这太可怕了。按照支付宝现在的安全体系和中国现在的个人信息隐私情况。一个人随随便便查几万人的支付宝，改登录密码都是正常的。密码丢失、手机丢失不能登录支付宝。要做的是暂时封掉账户，等待用户去电信部门补办手机卡之后再开通。而不能允许用户仅仅凭借一些公开信息就修改密码，开通支付宝的所有功能。这个原则性错误必须尽快弥补。作者：maomaobear | 来源：iDoNews 专栏
正在加载......