Alipay tiene una vulnerabilidad importante. ¿Qué está pasando?

En la madrugada del 10 de enero, algunos internautas expusieron las lagunas de seguridad de inicio de sesión de Alipay en Weibo. Un conocido utilizó el nombre de usuario de una de las partes para ingresar a su cuenta y optó por recuperar la contraseña sin ingresarla. siguiente opción de autenticación Después de ingresar la información relevante de amigos o conocidos, puede iniciar sesión exitosamente y pagar sin contraseña.

En la mañana del día 10, el personal de Alipay respondió a una entrevista con un reportero del Global Times, diciendo que se habían enterado de la información expuesta por el internauta esta mañana temprano. También se ha eliminado. El miembro del personal dijo que el personal comercial relacionado con la seguridad de Alipay está dando seguimiento a la investigación de este asunto, pero aún deben esperar una respuesta y explicación más detallada al mundo exterior.

El proceso de inicio de sesión de Alipay para otros expuesto por los internautas antes:

1. Abra la interfaz de inicio de sesión de Alipay, ingrese el número de cuenta y haga clic en Olvidé mi contraseña

2. Ingrese el número de cuenta y haga clic directamente en "Recuperar contraseña". Después de ingresar el número de cuenta, no podrá recibir mensajes de texto directamente.

3. Hay muchos métodos de verificación. Puede elegir el método de verificación de conocido o la información de los amigos que conoce.

4. Cambie la contraseña. Resulta que si olvida su contraseña, cámbiela directamente

5. Después de la modificación, inicie sesión directamente en la cuenta, que tiene todas las funciones y admite el pago de contraseña.

Los internautas que dieron la noticia dijeron que a través de la laguna jurídica de Alipay, los extraños tienen 1 Hay 5/5 de posibilidades de iniciar sesión en Alipay de otras personas, y los conocidos pueden incluso tener un 100% de posibilidades de iniciar sesión en Alipay de otras personas. Alipay.

Cuando el periodista utilizó este método para iniciar sesión, no había ninguna opción para verificar la información de un amigo o un conocido durante el proceso de inicio de sesión de "olvidé mi contraseña" de Alipay. Sin embargo, otro internauta le dijo al reportero del "Global Times" que los usuarios que inician sesión en sus cuentas Alipay utilizando los teléfonos móviles de otras personas aún pueden encontrar la opción de iniciar sesión a través de amigos o conocidos cuando inician sesión nuevamente en ese teléfono móvil, lo que demuestra que Alipay no ha "eliminado" completamente esta laguna jurídica.

En respuesta a la situación anterior, Alipay respondió que el método de verificación se ha actualizado y que aún se puede garantizar la seguridad de los fondos de los usuarios. El Weibo oficial de Alipay respondió urgentemente a las 11:56 del día 10, diciendo que las lagunas mencionadas anteriormente existen en "circunstancias específicas". "Para mejorar la sensación de seguridad de los usuarios, después de recibir comentarios de los internautas, esta mañana mejoramos aún más el nivel de seguridad del sistema de control de riesgos. Actualmente, sólo en el teléfono móvil del usuario es posible identificar productos comprados recientemente. e identificar amigos para buscar. Este método no se puede utilizar para recuperar la contraseña de inicio de sesión a través de otros dispositivos móviles".

Cuando el usuario inicia sesión con Alipay en otros dispositivos, el propio dispositivo del usuario recibirá un recordatorio de notificación.

El siguiente es el texto completo de la respuesta de Alipay:

Hemos recibido comentarios de los usuarios de que pueden recuperar su contraseña de inicio de sesión de Alipay identificando amigos y registros de consumo recientes.

Este enfoque sólo es posible en determinadas circunstancias. Por lo general, los usuarios deben ingresar al menos un código de verificación por SMS de su teléfono móvil para recuperar su contraseña de inicio de sesión. Para algunos usuarios que temporalmente no pueden recibir mensajes de texto o que han cambiado sus dispositivos móviles, nuestro sistema de control de riesgos evaluará primero (como la integridad de la información de la cuenta, el entorno de red y otros factores). Sólo cuando el factor de seguridad sea alto, se permitirá al usuario responder una serie de preguntas de seguridad, y sólo después de que las respuestas sean correctas, se cambiará la contraseña de inicio de sesión.

Esta política solo puede recuperar contraseñas de inicio de sesión, no contraseñas de pago simplemente respondiendo preguntas de seguridad. Esta estrategia solo puede recuperar la contraseña de inicio de sesión respondiendo únicamente preguntas de seguridad, pero no puede recuperar la contraseña de pago. Si su Alipay inicia sesión en otros dispositivos, se le notificará en su dispositivo.

Para mejorar la sensación de seguridad de los usuarios, después de recibir sus comentarios, mejoramos aún más el nivel de seguridad del sistema de control de riesgos. Actualmente, solo en el teléfono móvil del usuario, la contraseña de inicio de sesión se puede recuperar identificando los artículos comprados recientemente e identificando a mis amigos. Este método no se puede utilizar para recuperar la contraseña de inicio de sesión a través de otros dispositivos móviles.

También invitamos a los usuarios a continuar brindando comentarios y sugerencias sobre nuestra política de seguridad, y realizaremos más mejoras y correcciones en función de sus comentarios.