支付宝现重大漏洞：知晓熟人信息可篡改密码

亲测已经修改了几个同事的密码了，大部分 Android 手机来操作不行（目前同事的 Android 无一个成功的），小部分 iPhone 可以（目前就我的手机可以，其他的不行）

不知道微信支付有没有类似漏洞

太可怕。只验证两个信息就可以改密码了。

都说知晓信息了

刚刚试过，可以改密码

我觉得选择认识的人要对方确认才行的吧

两条验证信息验证完应该发送确认信息，确认完成后才能出现修改密码的选项。或者用户有权在个人中心设置中选择哪种方式找回及更改密码。这种应该算风控没做到位吧。

知晓熟人信息。你知道你朋友买的什么东西，和他的认识的人，这关系不算一般了吧，然后你会去改他密码盗他号？

尝试了一个，没成功

首先选择忘记密码以后，没有“手机不在身边”的选项，而是直接发送短信验证码，只有一个“无法接收短信”选项。选择该选项后，直接进入人脸识别。

至此，失败告终。

@hotStrip 骗子可能会间接利用这一点，支付宝的出发点是好的。

这里的最大问题在于，修改密码必须是本人，但是这两个条件约束和确认是本人差的还是有点远吧。怎么着也得连续看 5 个购买的东西，然后按照好友数量再看个几个

取消人脸认证后，出现一个选项，三选一：

* 刷脸验证
* 验证本人银行卡信息
* 拨打验证号码

其中“验证本人银行卡信息”会要求提供绑定了支付宝的银行卡卡号，系统会提示该支付宝帐号的户主姓名（例如 张*三）。

其中“拨打验证号码”要求使用支付宝绑定的手机号拨打 13429102985 ，并提示在某个时间节点以前拨打有效。

因此得出结果，短信验证与拨打号码均要求持有绑定的手机卡；另外只有两个途径可以重置密码，人脸与银行卡

https://ooo.0o0.ooo/2017/01/10/58745777a2a79.png

https://ooo.0o0.ooo/2017/01/10/587458049f26a.png

话说怎么添加图片

吓。。。我改 了。我自己的。。也通过了。。

这东西基本没法洗，为了便捷性牺牲安全性够愚蠢的。我觉得应该是阿里产品狗的锅。

重置同事的密码成功

更换设备登陆需要回答其他问题的

@darrenfang 试了几个同事的，基本都失败，需要回答验证问题，或是刷脸。

月饼厂其实比百度垃圾多了

我身边已经有两个成功案例了

听到的传闻 是 bug 已经 fix 了。但是对品牌的伤害那不是一点点，看来金服要上市前 事情会很多很多。

安卓最新版本测试,点击忘记密码,只会给手机发送验证码,没其他的

可以用身份证找回，而且身份证这东西是真的好找，特别是大学，到处让你留身份证和手机。不过这里所谓"重大漏洞"我觉得未免太标题党，知晓信息后拿到权限，这不是社工嘛

握草，试了试，太可怕了！

@stevenkang 全是女同事，而且名字也很有特色

据说内部早就不止一个人提这个问题了，遗憾的是支付宝团队认为这不是 bug ，而是一个 feature 。
So ……现在引起了群愤，才被重视了。
我很好奇产品经理会被这个锅吗？

@hotStrip 刚和别人合租了房子，为了交费方便互相加了支付宝好友，然后又帮忙代收了几个快递

@buckyRRRR 然而你并不能知道他的朋友圈和他买的是什么。只能靠猜