这是一个创建于 3930 天前的主题,其中的信息可能已经有所发展或是发生改变。
首先我好久登录支付宝,密码忘记了,选择密码找回,然后直接让我输入身份证就可以更改密码,不用手机短信验证码,顿感问题,就试了身边的小伙伴发现也可以这样!
http://7xka5f.com1.z0.glb.clouddn.com/1.png
http://7xka5f.com1.z0.glb.clouddn.com/2.png
然后发到群里询问更多的小伙伴,发现如果是支付宝好友有的也可以直接输入身份证更改密码,也可以是支付密码!
昨天提到阿里应急响应中心,说这个不算漏洞,
http://7xka5f.com1.z0.glb.clouddn.com/3.png
他这么一说,我就无力吐槽了,凭什么你认为你给我的可信用户名单在我认为就一定可信?!没有经过用户同意就通过大数据分析,划为相互可信?!就算这不可以批量攻击,不是漏洞,至少这件事情用户得有知情权,让用户决定自己的可信用户。各种改小伙伴的密码的姿势大家敬请尝试!
 | 1 robinray 2015 年 7 月 10 日 你换台电脑试试看看还能不能改 |
 | 2 Busy 2015 年 7 月 10 日 试了,不能 |
 | 3 wkdhf233 2015 年 7 月 10 日 想起了朱雀记里佛祖看破轮回,准备拉着全世界一起寂灭的埂 他的意思就是他能做到了而且觉得对所有人都好,就要不管所有人的意见强行拉着一起上 水果有指纹了也没见更新成不让我设置锁屏手势吧 |
 | 4 We_Get 2015 年 7 月 10 日 手机丢失掉之后,就呵呵了。身份证什么的在手机号码实名之后等同直接贴在手机号上了。 |
 | 5 shaoshuang PRO 你们一直都在自己拿着钥匙开自家门来说防盗薄弱的问题 如果真是这么简单,那支付宝整个安全部门可以集体开除回家了。 现在针对你拿手机时候的习惯手势(陀螺仪)、按键频率速度、触摸区域大小等都是有习惯和识别的 你们把支付宝的安全风控想的太简单了! |
 | 6 imn1 2015 年 7 月 10 日 反正 可信设备===住户持有人 这个逻辑超级奇芭 |
| 8 imn1 2015 年 7 月 10 日 哇靠,刚才没看图,看完后发现又一条业务逻辑错误 这样说,公司就可以随意修改(并控制)所有员工的密码了?入职基本都要给身份证的吧? |
 | 9 Halry 2015 年 7 月 10 日 via Android 我都服了支付宝那奇葩的流程 |
 | 10 honeycomb 2015 年 7 月 10 日 via Android @shaoshuang 自己拿着自家钥匙开自家门是存疑的。 自己是自己吗,是自己的手机吧,自己的手机的人和人是自己没有必然关联。 何况现在的主流思潮是两步验证+在受信任设备遇到敏感操作再强制验证一遍密码 反正随蚂蚁金服便吧,反正不用了 |
 | 11 LazyZhu 2015 年 7 月 10 日 via Android 支付宝取消手势密码是为了社交功能,不为别的. 阿里已经堕落到了这个地步... |
 | 13 arfaWong 2015 年 7 月 10 日  |
| 15 shaoshuang PRO @honeycomb 太好了,赶紧别用了!最怕你这种的,再用支付宝你没有小 JJ 按你的道理,那给支付宝负责财产保险的保险公司要破产了 人云亦云 的确,主流的思潮是建立在对使用者的行为没有识别的基础上,的确需要双重验证,这也是密码学里面的需求物理验证+密码验证(正如银行卡+取款密码),但是如果对使用者的行为习惯等有足够的识别,例如可以如果取款机可以声音特征识别(YY 而已),那自然可以取消掉取款密码 手机设备就是你的物理验证,你的使用行为早就已经在支付宝行程使用行为特征码,我刚才的回帖已经说了几种了(当然实际还包括更多更多的变量参数) 如果你觉得这样还不够的话,那只能说你要不就是太牛逼,赶紧去破解支付宝转别人的钱去,你可以发财了,要不就是太2逼,只会跟着别人说啥就是啥,不动脑子不会判断。 |
Select Language