今天上午,知乎的一位网友曝光了支付宝的一个重大漏洞:只要一个人知道你的地址和你的朋友圈,就可以轻松登录你的支付宝,修改你的登录密码。即使是只知道你手机号的快递员,破解的概率也很大。
既然支付宝目前已经把漏洞补上了,周就来讲讲“罪”:
1.打开支付宝登录界面,输入账号,点击“忘记密码”;
2.输入账号后点击“无法接收短信”;
3.选择“与您相关的地址”;
4.在九宫格中选出你可能“认识”的人;
5.在九宫格选择“已购商品”;
6.更改登录密码。
目前第一步和第二步还能顺利进行,但后续的验证方式已经基本被封锁——必须用自己的手机或其他常用设备与熟人验证,如果用其他手机无法通过安全监控,就会跳转到其他四种验证方式——刷脸验证、验证银行卡信息、拨打验证电话、填写身份证号。
四种方式中,验证本人银行卡信息是最不容易被破解的。
在绑定持卡人本人银行卡的过程中,会直接向银行卡绑定的手机号码发送短信。如果继续选择“不能接受短信”,系统会提示您到银行更换手机号码。最容易破解的就是身份证号。毕竟生活中接触到身份证号的机会很多,大部分人并不把它当做隐私来保护。
有趣的是,当你破解不同人的账户时,选项是不同的。有的是刷脸,有的是银行卡绑定,有的是多选,有的只有一个选择。
祈祷你身边没人知道你的身份证号,填身份证号就能验证,祈祷你想做一个想做坏事的熟人。
不交密码别人能在你身上花多少钱?
因为这个漏洞只能用来修改登录密码,支付密码就成了保护你支付宝账户的最后一道防线。
问题是,可以不用密码支付的钱太多了。
首当其冲的就是小密支付。免密额度一旦开通,最低200元/笔,最高1000元/笔,可以支持淘宝、天猫、闲鱼、微博、去哪儿、聚划算、支付宝等多个场景。黑客多刷几笔“小额”,对你来说也可以是“巨额”。
别忘了去借。不用输入支付密码,登录后就可以借很多钱。最可怕的是,即使你借了还了,借贷也可能给你带来意想不到的后果。周总结了一篇文章“用支付宝借款,贷款买房可能被拒,原来是真的!”借钱前一定要看。
▌支付宝,让我们交个朋友吧!
通过“人脸识别”进行熟人犯罪,支付宝堵住了这个漏洞,但人们不得不担心“荷包和社交账户被捆绑”的更多后果。
财产是私有的。如果一个人很了解你的生活,能打开你的钱包,我们能做的就是把它取出来。在支付宝的年度账单里,你的朋友可以看到你花的钱是比自己多还是少,你有没有好的办法保住家人或者隐藏老板,这些都没有意义,充满风险。
虽然好友数量少得可怜,但周还是决定把好友全部删除——反正就是转账的时候多掉一个手机号的事。
还有一个问题。熟人作案不在支付宝的账户安全保险理赔范围内。
不过大多数情况下,支付宝的账户安全保险还是比较靠谱的。建议你花两三块钱买一份安稳的生活。发现问题后,蚂蚁可以直接申报信用分600分以上,600分以下拨打95188转人工处理,24小时内得到回应,最高赔付100万。
支付宝的验证方式也可以给我们一个小启示:在社交网络中讨论你的生活,不仅会加剧你的社交焦虑,还会让我们赔钱。当别人不仅知道你的家庭住址和手机号码,还知道你最近买了什么东西,和谁交往频繁,朋友圈里有哪些本地朋友,你的钱包就危险了。
支付宝在社交方面真的不靠谱。让我们“交朋友”,恢复简单的“金钱关系”!
编辑|萨沙·武贾西奇