今天凌晨三点左右,知乎社区中爆出了这样一个问题:如何看待支付宝 1 月 10 日被曝光的非密码登录模式下可能出现的账户安全风险?,问题中指出:
1.打开支付宝登录界面,输入帐号后点击忘记密码
2.输入帐号后直接点无法接收短信
3.这里有很多验证方式,选择你所知道的方式,熟人验证,你知道的朋友信息
4.更改密码,原密码直接忘记,直接更改
修改完直接登入账户,拥有全部功能,且支持免密支付
随着时间的推进,这个问题逐渐在今天上午发酵传播,互联网圈和非互联网圈人士都人心惶惶,各种严重的后果纷纷而至,“解绑银行卡了没?”成了大家今天上午的问候语。终于,官方在今天中午给予了以下回应:
我们接到网友反映,称可以通过识别好友、识别近期购买物品,来找回支付宝登录密码。
这一方式仅在特定情况下才会实现。通常情况下,用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户,我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。
这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。
为了更好提升用户的安全感,在接到网友反映后,我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。
我们也欢迎用户继续对我们的安全策略提出意见和建议,我们会根据大家的反馈进一步完善和修正。
经过蒲公英的验证,支付宝方面现在已经紧急修复了这个漏洞,这次危机可以说暂且告一段落了。不管是今后如何避免此类风险,或是有关线上账户安全的保护,针对此次漏洞的讨论相信大家也已经看了不少,小蒲也不在这里赘言了。
但针对此次事件,小蒲产生了一个疑问:就移动应用而言,无懈可击的技术就代表了无懈可击的安全吗?
根据有关人士透露,支付宝今天中午声明中所提到的“风控系统(CTU)”是诱发该问题的关键点。风控系统是支付宝风险管理的一个核心系统,能通过数据分析、数据挖掘进行规则自学习,自动更新完善风险监控策略。风控系统中有一环叫做“可信环境认证”,即通过机器学习模型记录下我们平时使用支付宝时的手机型号、WiFi环境、地理位置、操作习惯、使用场景等信息来进行相关的风险控制。这也是为什么自己用自己的手机和别人用别人的手机检验漏洞时的效果不尽相同,用别人手机时难度更大的原因。
根据描述,这个“风控系统”的技术水平不可谓不强大,由2005年正式推出后至今发展已日臻成熟,用户资金损失的概率也降到了及其之低,这也得益于阿里的技术人员们技术至上的氛围,这点不可否认。
但为什么,这次爆出的这个问题仍然激起了大家大范围的热议,技术没问题,大家又为何惴惴不安?
因为小蒲自家也有安全性测试的服务,所以对安全性测试也有一定的了解,安全性测试中有一环叫做社会工程学测试,使用社会工程学进行攻击的主体不是应用,不是服务器,而是人。
大家都知道,支付宝近期在社交功能方面逐步发力,而社交功能连接起来的就是一个个人,况且能作为支付宝好友存在的,当然也不止于点头之交的关系了。这样较为亲密的关系之中,风险也就产生了:TA可能给你打过钱,知道你的银行账号,TA可能帮你取过快递,或者看到你在支付宝中分享过买了什么东西,手机号、住址这就更不用多说了,淘宝买家和快递员手中每天要经手多少条个人信息呢?
信息的泄露必然带来风险,大部分人选择正确对待,但对一些别有用心的人来说呢?既然漏洞目前已经修复,小蒲在这里就点到即止,总之小蒲个人的看法是,不应为了线上的便捷而忽略了线下复杂的人性。在更远离隐私的社交和更贴近隐私的金钱之间的矛盾中,产生了这样一个漏洞,对一个以金钱交易为主的产品来说无疑是个打击,漏洞修复后用户信任的重建也将会是个长期的工作。
所以,处理金钱(支付功能)与隐私(社交功能)这两大块功能之间的平衡应该会是支付宝接下来很长一段时间的工作重点,作为中国移动互联网的里程碑式产品,加上强大的技术加持,小蒲选择相信支付宝,你呢?
网友评论
,了解了一些知识