针对付出宝出现庞大漏洞,付出宝方面回应称,目前仅在用户本身的手机上,才能通过识别近期购买商品以及识别本人挚友来找回登录密码,通过其他手机设备无法用这一体例找回登录密码。
同时,付出宝称,在接到网友反映后,其进步了风控体系的安全等级。
今日有网友爆料付出宝存在一个新漏洞,陌生人有1/5的机会登录你的付出宝,而熟人甚至100%可以登录你的付出宝。按照网友的说法,漏洞的原理是如许的:登录手机账号——忘掉密码——手机不在身边——淘宝买过的东西9张图片选1个——挚友验证9个挚友图片选1个——登录成功。这时就可以直接扫二维码付款不用密码。
以下是付出宝的官方回应:
我们接到网友反映,称可以通过识别挚友、识别近期购买物品,来找回付出宝登录密码。
这一体例仅在特定情况下才会实现。通常情况下,用户找回登录密码至少必要输入手机短信验证码。对于部分临时无法收到短信的用户或者替换移动设备的用户,我们的风控体系会先辈行评估(比如账户信息完备程度、网络环境等因素)。在安全系数较高的情况下,才让用户回答一系列安全题目,只有在回答精确后,才能修改登录密码。
这一策略只能找回登录密码,仅通过回答安全题目并无法找回付出密码。且一旦用户付出宝在其他设备被登录,本人设备会收到关照提示。
为了更好提拔用户的安全感,在接到网友反映后,我们于今日上午进一步进步了风控体系的安全等级。目前仅在用户本身的手机上百度排名,才能通过识别近期购买商品以及识别本人挚友来找回登录密码,通过其他手机设备是无法应用这一体例找回登录密码的。
