|
正所谓千里之堤溃于蚁穴,再牛逼的安全体系,只要存在一个漏洞,也会被攻破。趁着315这个特殊的日子,小编为大家揭露一下大多数人都用到的支付宝有什么惊天大漏洞。这一回,哪怕会得罪支付宝,文章也要上。如果文章要修改,那小编只想增加一句,“本文所述漏洞已经完全修复好”。 看一个网上支付工具是否安全,就看在用户有安全意识的情况下是否能让用户放心。如果因为出现手机丢失或者手机SIM被人补办这种人算不如天算的事,就导致网上支付工具里的钱全部被盗,那根本就不能称之为安全可靠。把用户账号的安全大权交给第三方(移动运营商)来保管,这根本就是一个错误。然而,犯错的支付宝并没有失去什么,为错误买单的反而是无比信赖支付宝的用户,这就是“顾客就是上帝”的反证…… 在本文即将完成之际,小编突然发现支付宝已经简单地修复那个“一条短信就可以修改支付密码”的惊天大漏洞,这值得表扬,但也让小编好受伤,为什么不等小编把文章发出去再修复漏洞呢,那小编只好重新修改文章再发布。如果想骂小编的,请看完全文再骂,谢谢。 好文不罗嗦,啰嗦没好文。在继续阅读之前,希望大家能帮忙做个调查问卷。 小编为什么非要跟支付宝过不去? 很多人可能在问小编天天“黑”支付宝图的是啥?小编只想说,图的是支付宝把坑爹的惊天漏洞完美地修复好,让本来体验非常不错的网上支付工具变得绝对安全可靠,而不是像之前那样让人在深入了解“漏洞”之后对之完全没有信心。 其实小编使用支付宝的时间还不到两年,但已经将支付宝的功能研究得七七八八,通过支付宝帮朋友购物倒腾钱达40多万。因此说,小编最爱用的网上支付工具就是支付宝,因为支付宝给了我们免费转账的机会。
在2012年7月中旬,小编就以一篇《支付宝安全吗?4条短信5分钟盗空支付宝》来详尽介绍支付宝的漏洞。当时是希望支付宝能在文章发布后马上修复这个漏洞,让用户不怕在丢了手机之后就提心吊胆怕支付宝被盗,毕竟有多少人没有丢手机的经历。 虽然支付宝没有修复这个坑爹的漏洞,但却在9月左右推出了一个敢用敢赔的支付宝服务,这也让小编算是暂时放下心来。
在使用支付宝的过程中,小编还把自己使用支付宝转账的心得撰写成文分享出去,此时,我还认为支付宝是比较安全的(在手机不丢失的情况下)。 然而,当小编以为自己发现的漏洞只是一个假设的时候,多个专业的小偷竟然把小编的假设变成真实,从而发生多起因为手机丢失而被盗的支付宝案件(详见第四页)。 在众多支付宝被盗案件中,有一位网店卖家通过各种途径找到小编向我哭诉他支付宝的1.9多元是怎么被盗的(被盗原因,移动SIM卡被人异地补办),并且支付宝官方拒绝无过失的支付宝被盗受害人的索赔(拒赔原因,不符合索赔细则中某一条)。这一刻,小编平时再冷血也被刺激了,敢用敢赔说得这么好听,为什么此刻却拒赔并且不告诉用户拒赔的原因,这是什么服务,店大欺客? 跟支付宝公关人员电话理论半小时无结果之后,小编已经决定,不让支付宝认识自己的“漏洞”是一个多么恐怖的存在并且不修复好的话,誓不罢休。 于是乎,等春节过后,小编就开始收集支付宝被盗的新闻并加以分析被盗原因,目的之一就是让网友知道支付宝被盗是什么原因导致的,目的之二是希望支付宝官方能关注到这个坑爹的漏洞并想办法修复(目的算是已经基本达到,但离最终目的还有很远)。 终于,在小编撰写此文的时候,支付宝终于简简单单地算是修复了那个为小偷提供无限便利的BUG(如上图,修改支付密码的时候加多了需要输入证件号码一步)。 支付宝还存在什么漏洞? 曾经让小偷受益无限的“4条短信5分钟盗空支付宝”的漏洞已经算是不存在了,但并不能说没有漏洞了。目前还有的漏洞就是支付宝开通快捷支付无需输入银行卡的取款密码。这漏洞意味着假如让小偷收集了用户身份证号、银行卡号和跟银行卡绑定的手机号,那么小偷不但能将你支付宝的钱盗空,就连银行卡的钱也能通过快捷支付全部盗空。 小编建议支付宝这样修复漏洞 早在上年,小编就曾经多次对支付宝提出了如何修复漏洞的建议,结果吃上了闭门羹…… 要让支付宝变得绝对安全可靠,小编是这样建议的。一,修改登录密码和支付密码必须是两种不同方式(例如短信和邮箱两种模式);二,手机用户要找回密码,必须要求他输入身份证或者银行卡号;三,修改最后的支付密码,如果无法输入之前的支付密码,必须用手机短信加邮件同时确认;四,开通快捷支付必须输入银行卡取款密码,取款密码一旦修改必须要再次开通快捷支付才能使用快捷支付功能。 对于用户来说,或许修改密码的方式变得麻烦一点,但这样绝对安全,给人一种就算丢了手机、银行卡、身份证三件套也无法让小偷破译支付宝密码的感觉。因为要破译支付宝和快捷支付,还得自己的邮件确认和输入银行卡的取款密码。
支付宝、财付通和网银的安全性小测试 现在,小编来给大家做3个测试,在假设丢了手机的情况下(没丢过手机的人估计不多吧),看看哪个网上支付工具会因为你丢了手机导致登录密码和支付密码也被泄露出去,看看哪个工具会因为你丢了手机而导致网上支付工具里面的钱也一起被丢了。 强调一遍:测试都建立在手机SIM卡丢失并且没有被挂失可正常使用(简单地说就是丢了手机)的前提下。 测试一,知道账号能否修改登录密码? 假如支付宝账号、财付通账号、网银登录账号、手机银行账号都被小偷知道,小偷能否通过手机来破解登录密码?答案直接看图吧。
结论 在小偷知道你支付宝、财付通、网上银行等账号的情况下,如果你手机丢了,小偷可以通过手机短信修改你支付宝的登录密码进入支付宝,但却无法以同样方式来修改财付通、网上银行的登录密码。 简单地说,丢失手机之后,你唯一担心的就是小偷可能会修改你支付宝的登录密码。 测试二,知道登录密码能否修改支付密码或取款密码? 第二个假设,小偷不知通过什么条件(例如小偷偷走你电脑,浏览器默认保存了你的登录密码)破译了我们的登录密码,那么我们支付宝、财付通以及网银最后一道防线支付密码会不会接着被破译?答案依然直接看图吧。
结论 在只丢失手机并且在你已经把登录密码泄露出去的情况下,只有财付通才可以直接通过手机修改支付密码。支付宝官方在小编构思本文的时候,还是可以通过手机直接修改支付密码的,但在本文撰写的时候已经修改了这个坑爹漏洞,这绝对值得表扬。另一点,网银是无法通过网银修改取款密码的,这一点无疑最安全。 简单地说,如果你泄露了你的登录密码和丢了手机,那么目前只有财付通才有被修改支付密码的风险。支付宝非常幸运地躲过了这一劫。网银不会因为你丢了登录密码和手机就被修改取款密码。 测试三,小偷获得了手机、银行卡和身份证三件东西能偷走什么? 假设小偷偷(抢)走了我们的手机(银行卡和支付宝的绑定手机号),银行卡和身份证,在只知道我们支付宝、财付通、网银账号而不知登录密码的情况下,支付宝会被洗劫一空,并且连累银行卡的钱也被洗劫一空;而财付通因为破不了登录密码,因此比较安全;网银可能会被破解了登录密码但依然无法转钱走人(没有取款密码无法转账)。 测试总结 假如在以前,在只丢失手机的情形下最危险的绝对是支付宝这个坑爹货,丢失手机后完全有机会让你支付宝里面的钱被盗空。现在支付宝修改了这个BUG,那就意味前面已经被无数小偷成功验证的“漏洞”已经成为了小偷美好的回忆。 总的来说,在目前看来,只丢了手机的话,小偷顶多能去你支付宝里面看看,而无法偷走里面的东西。这就相当小偷帮你把支付宝房间的锁直接换掉了,但无法把房间里金库的门打开。如果是财付通以及网银的话,小偷是无法通过手机就把锁换掉,也就无法挪动金库的钱。但如果你财付通的登录密码泄露给小偷的话,那小偷可以帮你把金库的锁直接换掉,希望财付通能修改这个漏洞。网银暂时比较安全,丢不丢手机,都跟网银的安全没有什么关系。 如果丢了手机、银行卡和身份证这三件套,那支付宝和银行卡都会悲哀无比。接下来小编将变身专业小偷告诉你为什么。 让小编变身专业小偷告诉你盗空支付宝有多简单 丢了手机、银行卡和身份证这三件套会有多可怕?让小编化成专业小偷,用专业小偷的角度告诉大家,盗空支付宝有多难(应该说,盗空支付宝有多容易)。 强插一句:除了支付宝之外,各种网银手机银行不会因为你丢了手机而被修改了其登录密码、支付密码和取款密码。 小偷最爱偷什么? 小偷,最爱偷的无非是两样东西,钱包和手机。钱包和手机也是网友爱容易被偷的两样东西,不信你看以上的调查。 2B的小偷会把钱留下,钱包扔掉,手机卖掉。 普通的小偷会把钱留下,钱包扔掉,把手机的话费打完后再关机卖掉,如果遇上失主打电话过来还能敲诈一笔。 有良心的小偷会把钱留下,手机卖掉,钱包和相关证件归还给你,手机通讯录和短信资料什么打包发给你。 像小编这种专业的小偷会怎么样做?钱到手,保留银行卡和身份证,钱包扔掉,看看手机上哪个应用可以直接打开账号,盗取账号各种资料,再找电脑或直接打电话给同伙让之测试一下这失主的电话号码有没有开通或绑定支付宝账号……不管有没有开通支付宝,反正不会让失主的损失太少…… 修改支付宝的登录密码和支付密码有多难? 好吧,假设变身专业小偷的小编成功偷到某人的钱包(里面有银行卡和身份证)和手机,并且刚好发现失主的手机号就是支付宝账号。那么小编只能说,丢钱包和手机的你要遭殃了……
专业小偷会马上通过手机接收短信直接修改支付宝的登录密码和支付密码,对于专业小偷来说,能够1分钟之内就可以破解两个秘密,这得感谢支付宝为小偷提供了便利的修改密码服务。
如果支付宝有余额或者已经开通了快捷支付,专业小偷肯定是第一时间转钱到其他支付宝账号或者银行卡,当然,用来买游戏点卡再转手也是一个不错的想法。 帮失主开通支付宝快捷支付有多难? 各位朋友注意了,以下这段可能会引起不适,请各位小朋友在成人的陪同下阅读。 修改了支付宝的登录密码和支付密码之后,失主的支付宝只能被专业小偷唯所欲为。当然,以专业小偷对支付宝的认识,不会就此罢休,特别是在钱包里还藏着银行卡的情况下,那么小偷就会非常“好心”地帮失主的支付宝开通快捷支付绑定银行卡。 什么?没有银行卡密码也能开通快捷支付?是的,没有密码照样能绑定快捷支付,否则怎么叫不安全的快捷支付?
只要开通了支付宝实名认证,姓名、证件等自动显示,无需二次输入。反正,开通快捷支付,只需一条银行卡绑定的电话号码的验证短信就行。 没有支付宝账户就安全了吗? 应该有人觉得庆幸了,幸好我啥都不懂,没有支付宝账号,那总该安全了吧。 说真的,什么都不懂,生活简简单单还蛮不错的。但大家可不要认为专业小偷也跟你有同样的想法。专业小偷是这样想的,没有支付宝账号不要紧,你的身份证银行卡手机都在我身上,我帮你开一个不就行了吗? 于是,只要给小偷足够的时间(十几分钟吧),就可以帮你完成支付宝的注册、实名认证、快捷支付等多个操作。到时候,你银行卡里面的钱就像滔滔江水一样向东流。
目前已经有小偷实践了这个猜想,详见《从熟人下手!一男打劫朋友支付宝12万元》。 小偷如何知道你的支付宝账号? 小偷要知道你的支付宝账号,起码有三种方式,第一,看你手机APP上的淘宝账号,第二,看你手机号(你不会问小偷怎么知道你被偷手机的手机号是多少吧?),第三,看你的QQ邮箱是不是支付宝账号。 觉得小编说的不对?自己试试做小偷呗 如果觉得变身专业小偷的小编的说法不对,请大家试试把自己当成小偷,在得到手机、钱包、身份证的情况下,能否将银行卡里的钱偷走。 回顾一下那些支付宝被盗案件是如何被盗的? 小编采集的第一篇支付宝被盗案件是发生在2012年11月,被盗原因是小偷用一个假身份证去营业厅(不知是移动联通电信中的哪家)成功补办了手机SIM卡,然后通过当时支付宝依然存在的“4条短信5分钟盗空支付宝”漏洞把钱全部盗空。根据小编的猜测,此小偷可能认识受害者,可惜此案没破,小编无法获得更多的资料。 第二个被盗案例,被盗原因也是一样,一个网店卖家的手机卡也是无怨无辜被重办卡(这一回,让小偷补办成功的运营商确定是中国移动),然后小偷就进入支付宝把留在支付宝的1.9万元全部盗空。感觉小偷对这个网店老板非常了解,简直就是专门针对这老板下手的……
第三个被盗案例,被盗原因也是出奇地相似,被盗原因也是因为手机卡被重办,只是这一回是支付宝用户主动放弃了这个号码而已。详情可以点击下图阅读原文,小编就不多说。 小编采集到的第四个支付宝案例,可以算是唯一一个不是利用支付宝漏洞作案的案例。因为被盗原因是失主主动把相关信息泄露出去。 第五个案例,众多人的支付宝被开通被盗的原因,是无意间把手机、银行卡号、身份证号泄露给小偷。这小偷也是众多案例中最专业的,懂得充分利用支付宝的漏洞来作案。说实话,与其说小编变身成专业的小偷,倒不如说模仿的就是这小偷。 本案中小偷详细交代了他是怎么帮人开通支付宝开通快捷支付并盗空支付宝的。推荐有推理兴趣的朋友详细阅读。 简单说说猪一般的队友,在五个被盗的案件中,其中有3个是因为手机卡被重办而被盗的,3个中有2个案件中指明是中国移动帮小偷开卡的。这说明了什么?相信大家都清楚这已经很好地说明了某些营业厅允许一些不该发生的事情发生。 我们如何防止支付宝以及银行卡被盗? 在支付宝官方没有按照小编的建议去修复支付宝的漏洞时,丢失手机、银行卡和身份证依然会让我们万劫不复。因此,要防止支付宝和银行卡被盗,我们就要养成一个习惯,身份证和银行卡不能放在一起,身份证平时一般都用不上,因此可以选择放在家里(如果全城戒严的时候还得带上)。就算带上,也尽量放在两个不同的地方。
支付宝最安全的手段——支付盾,但如果用了支付盾,那就得随身带支付盾,没有便利性可言,不如用网银或手机银行方便。因此支付盾只建议网店卖家使用。
自己主要的支付宝账号最好是用邮箱注册,而且不是用全数字的QQ邮箱注册。自己的主支付宝账号最好已经绑定了手机号,开通了实名认证和使用了数字证书或者手机宝令。
然后用主支付宝号绑定的手机号单独注册一个支付宝号,只需绑定手机就行,无需开通实名认证。这有什么好处,好处就是小偷通过手机号登录到的支付宝账号没有任何用途。
如果小偷捡到你的手机、银行卡和身份证,在不知道你主要支付宝账号的情况下,也无法通过实名认证来开通快捷支付盗空你银行卡的钱。算是一个有效的保障。
要想让自己的支付宝达到手机不丢就绝不出问题的安全境界,必须像小编这样开通所有免费的安全手段。其中,小编推荐宝令(手机版)而不是数字证书,理由是电脑被偷意味着数字证书也被偷。
如果不是经常使用支付宝的话,建议大家取消快捷支付功能。想开快捷支付的话,建议等到支付宝根据小编的建议修复好坑爹漏洞。 手机的安全又如何做?无论是功能机还是Android、iPhone等智能机,只要是跟银行卡和支付宝绑定的,都要设置“要输入PIN码才能开机”。设置输入PIN码才能开机的好处是显而易见的,小偷把你的卡换到其他手机上也无法正常开机接收短信。
对于是Android、iPhone等智能机,建议设置锁屏密码。这样,就算小偷偷走你手机,也无法获得短信。
如果你的Android或iPhone等智能机安装了支付宝客户端,记得设置一个手势密码(如下图)。虽然无法防止小偷通过客户端查询你的支付宝账号,但可以让小偷无法直接登录你的支付宝。
如果想更好地了解如何保护Android手机的安全,建议阅读《你的手机安全吗?安卓手机最强安全攻略》。 如果手机钱包银行卡丢了怎么办? 如果发现自己手机钱包银行卡都丢了的话,第一时间打电话给支付宝客服要求马上冻结支付宝账号,强调在X天内谁打电话都不准解冻。然后打电话给银行要求冻结自己的银行卡。如果还有可以做的,就是打110报警,希望警方能像帮日本小伙子找自行车那样帮你找回手机。 写在最后 有关支付宝漏洞的揭露就到此为止,只希望支付宝官方能够按照小编的建议完善支付宝的安全体系,不让小偷有任何的机会而言,这样只为保障支付宝的主人在什么都丢失唯独不丢失密码的情况下依然能保障支付宝账号的安全。支付宝,你明白我的意思吗? 好吧,本文就到此为止,感谢各位网友的支持。接下来有机会的话,小编会认真测测各种网银和手机银行的安全性,看看有没有像支付宝这样坑爹的漏洞存在,同时也希望各位网友在留言中爆料。 |
正在阅读:得罪也要上!小编深度揭露支付宝大漏洞得罪也要上!小编深度揭露支付宝大漏洞
2013-03-15 23:53
出处:PConline原创
责任编辑:wujinlong
