无需密码就能潜入淘宝账户 新业务引起漏洞
图为乌云平台发布漏洞报告的微博截屏。“无需密码可随意登录淘宝、支付宝账号。”“淘宝认证缺陷导致可任意登录淘宝、支付宝账号。”昨天14时左右，来自国内互联网安全问题发布平台乌云漏洞报告平台的这样两条报告，让许多人立马停下手头的事儿，查看自己的淘宝账号是否安好。昨日，淘宝网证实这是近期一个新业务规则引起的短时漏洞，并已在第一时间修复。支付宝公关部相关负责人则表示，经过核查，漏洞只涉及淘宝网，和支付宝无关。然而，漏洞因何而起，仍是一片疑云。淘宝有漏洞 与支付宝无关“你们谁敢告诉我你们的支付宝或者淘宝账号？只要账号，我就能进入到你们的账户！”昨天14时10分，名为“互联网的那点事”的微博大号发布的这么一条信息在网络上炸开了锅。这条看似有些噱头的消息却被迅速证实。“叫板”信息刚刚发布1分钟之后，“互联网的那点事”在微博上公布了网友“forwhere”的淘宝账户截图。图片上，“forwhere”在2月14日购买了6包猫砂和1把猫砂铲、1月6日使用支付宝购买联通充值卡等购物信息，一一在列。这场风波源自20分钟前国内一家安全漏洞报告平台。13时49分，乌云发出第一条漏洞报告。报告提交者“酸奶”表示，黑客通过搜索引擎，不用账号、密码，可直接获取用户的隐私，内容包括账户余额、交易记录、收货地址、姓名、手机号码等敏感信息。虽未太多披露漏洞细节，但提交者表示，漏洞源于“账户体系控制不严”。就在不少网友还对这条消息将信将疑时，14时20分，乌云发出第二条针对淘宝、支付宝的漏洞报告，“淘宝认证缺陷导致可登录任意淘宝、支付宝账户”。报告提交者“沧浪浪拔出保健”表示，漏洞源于设计缺陷或逻辑错误，同时将这一危害等级设置为“高”。“我余额宝里可放着10来万块钱呢，黑客该不会直接撬走吧？”在网上浏览到这条消息，尽管在第一时间里确定了自己的支付宝账户并无变化，在东单附近上班的李先生仍是有些不知所措。和他一样，不少网友都在担心，存有大额资金的余额宝账户是否变得不再安全。17时，乌云爆出漏洞后的两个多小时后，淘宝网在官方微博上做出回应。“今天下午，我们接到反馈称有用户可随意查询淘宝账户，经过我们的排查，确认这是近期一个新业务规则引起的短时漏洞。”淘宝网表示，已在第一时间完成修复，同时确认没有用户因此漏洞引发资金风险和损失。此外，淘宝将给予此次漏洞发现者5万元现金奖励，而今年还将拿出500万元奖励漏洞发现者。支付宝公关部相关负责人则告诉记者，他们经过核查，“漏洞只涉及淘宝网，和支付宝无关”。淘宝漏洞究竟是咋出现的？由于乌云对于两个漏洞只有寥寥几句描述，而淘宝方面也只是简单回应“已修复漏洞”。直到这场风波平静，不少用户仍是摸不着头脑，“漏洞究竟是咋出现的？”依照乌云发布平台的规则，出于安全考虑，漏洞发现者在最初发现漏洞时并不会公开漏洞细节。只有在提交厂商后，等待厂商解决漏洞后，发布者才会择期公开漏洞细节。昨天21时，记者再度登录乌云，这两条漏洞的发布页面上，披露状态都已被更新为“厂商已经确认，细节仅向厂商公开”。就此，反病毒工程师李铁军解释说，此次乌云爆出的两条漏洞主要都涉及用户账户隐私，从危害等级来说都属于较高级别。“其中一条漏洞讲的是，浏览器可以抓取到用户的交易信息。”李铁军解释说，依照正常流程，消费者在网上购物时，淘宝网对用户的交易信息都是严格保密的，浏览器无法抓取到。可能是由于淘宝某项业务在处理过程中出现漏洞，使得“黑客”能够通过操作浏览器抓取到购物记录。而“任意登录账号”漏洞，则可能源于淘宝服务器在处理一些关键信息时出现问题，使得“黑客”可以通过其他路径，绕过登录密码这道门槛。“总体来看，漏洞更多对用户的账户隐私安全造成威胁。‘黑客’利用这两个漏洞通过网页可以浏览到账户信息，但并没有操作账户的权利。”李铁军表示，尽管漏洞爆出两个多小时就已被淘宝官方修复，消费者仍得警惕漏洞“后遗症”。近期有发生交易行为，同时买的东西还没有到货的用户要格外警惕。“一旦不法分子拿到交易记录、伪装成卖家，借此发生退换货服务，就可能发生诈骗案件。”李铁军提醒，用户如果接到类似的退换货提醒，一定通过淘宝平台核实对方身份。“从一定程度上讲，安全漏洞是不可避免的。”通信世界网刘启诚表示，国内包括、腾讯等互联网公司都已经建立了一套较为完善的风险防控体系，但如何减少漏洞、如何在第一时间封锁漏洞，仍是各家公司需要攻克的难题。不过，在漏洞发生后，尽快提醒用户风险所在、如何规避漏洞，这是互联网公司最该做的，一刻也不能耽误。新闻内存淘宝、支付宝近期频频被爆出漏洞■2013年10月 阿里旗下社交软件“来往”被爆出漏洞，“黑客”通过来往可破解用户淘宝账号。■2013年12月 支付宝被爆出手势密码漏洞，连续随意输错五次支付宝手势密码，可进入手机的支付宝账户。■2014年1月 支付宝被爆出身份认证漏洞，用户身份证信息被盗用后，他人可利用身份信息注册实名支付宝账户。
正文已结束，您可以按alt+4进行评论
相关搜索：
您认为这篇文章与"新一网（08008.HK）"相关度高吗？
看过本文的人还看了
[责任编辑：lilyqiao]
信托产品名称
Copyright & 1998 - 2015 Tencent. All Rights Reserved宝贵的周末啊，你再走慢点吧。留不住的是时间，留得住的是快乐，大家在周末里也要好好...
安吉拉·阿伦德茨（Angela Ahrendts）加盟苹果，并成为苹果零售高级副总裁之时，是所...
当最后一款 Google Play 版手机 HTC One M8 纯净版也从 Google Play 下架，那意味着整...
经过两次 Beta 版的测试之后，iOS 8.1.3 正式版终于在北京时间 1 月 28 日凌晨发布。
小编在这里汇总了一些当日更新的实用插件。
为了证明自己的系统软件能力没有下降，苹果今年是否要对软件部门进行大改革？
输赢还不能那么早就下定论，不过目前 A8 的确被虐了。
对于银行卡/信用卡安全交易来说，Apple Pay 提供了一个黄金标准，但是移动商务咨询公...
跑酷游戏在手游平台上推出已经不是什么新鲜事了，每天 App Store 上都有成百上千的...
《连击女王》（Combo Queen）就是那么一款以亚马逊女战士为主角的游戏，游戏玩家类似...
说到时下最热门的竞技游戏《英雄联盟》，相信不少玩家就算自己没有玩过，也一定看别人...
Pixie LLC 旗下的图片编辑应用一直以来都比较受欢迎，独特的编辑理念和功能是关键，除...
《奔跑吧 SNOW MIKU 2015 Edition（ブツカランナー SNOW MIKU 2015 Edition）》是为了...
关于忍者，向来是男孩子津津乐道的话题，随着火影的完结，忍者题材并没有出现任何的不...
以几何方块为素材的益智类游戏年年都很多，但是能够留存下来的却少之又少，UOVO 的《S...
Pond作为iPhone的无线充电套件，造型美观并且并不是特别具有科技感，可以非常隐秘的放...
Ampere（安培）是 Novelsys 公司推出的一款无线充电手机套，皮套内置有一块容量 2700m...
iPhone 6 屏幕尺寸终于是大了，但是对手小的用户和手残党来说真是一大难题，特别是 iP...
苹果最近又获得了一项和 Smart Cover 相关的专利，它可以让 Smart Cover 为用户提供更...
一支好用的 iPad 触控笔已经成为很多用户的迫切需要，有眼见力的生产商都已经进入了触...
iOS 产品的续航一直都是硬伤，如果能够将充电时间减少一半，听起来也是一个不错的选择...
PowerLite是一款可以插入智能手机的外置闪光灯。除了能在黑暗场景当中提供足够的光亮...
通过 Citrix 的远程桌面应用，再加上 Citrix X1 鼠标和蓝牙外接键盘，iPad 就可以变身...
iPhone支付宝手机版出现漏洞，无需手势密码进入账户！各位请注意了！本丝亲测！
注册时间 最后登录
在线时间96 小时 UID
主题帖子人气
白苹果, 积分 1357, 距离下一级还需 143 积分
我试了。没用。开飞行模式，随便画5次关后台，再进没有提示
再进的时候你看一下是不是让你绘制新的解锁手势，你随便再画两次就能进去了
注册时间 最后登录
在线时间96 小时 UID
主题帖子人气
程序员犯低级错误了。他把手势删除了，然后启动时候，判断没有手势，就过去了。肯定的。 ...
这个我真不懂，不过找到漏洞的人真心牛逼
注册时间 最后登录
在线时间32 小时 UID
主题帖子人气
注册时间 最后登录
在线时间96 小时 UID
主题帖子人气
...我就个人而已我有指纹，我就没设置支付宝密码了，省的麻烦，而且我轻易不借手机给谁- -怕什么 ...
丢了刚好捡到人是混威锋的咋办？我早晨还在琢磨要不要办一张无记名的银行卡，以备以后捡到手机呢~~啊哦米拖佛
注册时间 最后登录
在线时间1952 小时 UID
主题帖子人气
MBP各种爽呀
对胸毛飘啊飘于 08:06:31在楼主发表的内容评分：人气:+1;
早晨看到的消息，赶紧过来分享了，当然是我亲测后才来分享的
方法如下：关闭手机网络，打开支付宝连续输错五次图形解锁 ，支付宝会提示密码登录，这时候回到界面后台关闭支付宝，再登录你会发现支付宝让你设置新的手势！！！惊的我睡衣全无，然后再打开网络发现我的账户……这样都行，
注册时间 最后登录
在线时间76 小时 UID
主题帖子人气
额 这都可以。。 谢谢楼主提醒啊
注册时间 最后登录
在线时间76 小时 UID
主题帖子人气
问题是 支付宝团队指导这个BUG不。。。
注册时间 最后登录
在线时间96 小时 UID
主题帖子人气
我的没有啊&&还是需要输入密码才可以。
你看着帖子一步一步来~不行在PM
注册时间 最后登录
在线时间685 小时 UID
主题帖子人气
对胸毛飘啊飘于 08:06:31在楼主发表的内容评分：人气:+3;
本帖最后由 胸毛飘啊飘 于
09:50 编辑
感谢各位的加分支持，我已经反映到支付宝了。真亏我早晨的时候还在想能不能办个无记名的银行卡以备捡到手机后使用呢~~~哎，罪过，我果然已经被**同化了。
大家要做好孩子，每人奖个KIMI……看来必须得养成退出的好习惯。
注册时间 最后登录
在线时间144 小时 UID
主题帖子人气
无网络的情况下，图形密码无效的
威锋旗下产品
Hi~我是威威！
沪ICP备号-1 丨 深公安网监备案号 5
增值电信业务经营许可证：
Powered by Discuz!您现在的位置： &
支付宝密码难破解：仅靠校验码不会成功
支付宝密码难破解：仅靠校验码不会成功
　　记者使用他人的支付宝账号和未登录过支付宝账号的电脑实验，页面提示需输入身份证号(网页截图)
　　网传“手机丢失后支付宝易被盗” 记者实验发现电脑和手机客户端都需输入身份证号――　　靠校验码 盗不了支付宝　　昨天，一则“手机丢失？你的支付宝就完了！”的帖子在微博上疯转。该帖称，手机丢失后被他人拾获，只利用手机校验码等手段，支付密码将被破解。支付宝于昨天下午回应称支付宝安全没有问题。　　《法制晚报》记者对网传内容进行实验发现，网传帖子并不靠谱。除了手机校验码，获取支付宝密码还需知晓机主的身份证号。如果不是知晓机主身份证号的“熟人”，将无法提取支付宝钱财。　　事件　　　　手机校验码　　　　破解支付宝密码？　　这条微博称，如果支付宝关联了银行卡，手机丢了后，捡到手机的人只需通过手机校验码，就能获取登录密码、解除移动数字证书认证并获得支付密码。　　对此，支付宝昨天下午4时许，通过官微发出一条落款为“小微金融服务集团首席风险官胡晓明”的长微博。　　胡晓明表示，“如果真有别人捡到你的手机，想在别的电脑上找回你的支付宝密码，他一定需要‘手机校验码+身份证信息’等更高安全级别的校验，绝对不可能仅通过一个手机校验码就找回你的密码。”　　实验　　　　步骤1：尝试电脑破解密码　　记者按照网传帖子所述，在非记者本人的电脑上登录支付宝。点击“忘记密码”，进入的页面要求输入手机号和电脑校验码，输入后出现“手机校验码+身份证号验证”和“人工验证”两个选项。记者点击前者，进入页面后发现，不仅需要输入手机校验码，而且还要输入身份证号，如果不输入身份证号，则无法点击“下一步”。　　　　步骤2：尝试手机客户端破解密码　　电脑上不输身份证号无法继续，在手机客户端上，又是如何验证的？记者在手机客户端上，尝试登录支付宝，首先要输入手势密码。记者选择“忘记手势密码”，页面弹出“需要重新登录”对话框。　　记者点击后，出现账号登录页面，需输入登录密码，记者选择“忘记登录密码”，页面给出了三个选项找回密码：“手机校验码+证件号码的方式”、“通过安全保护问题”、“通过人工服务”。而网传帖子中只出现“手机校验码”方式，而并非记者体验中给出的三个选项。　　步骤3：尝试验证身份信息　　记者选择第一个选项后，手机的确收到一条有6位数字校验码的短信，输入校验码后点击下一步，进入“找回密码”页面，此时，要求填写身份证号码。　　可见，如果不知道机主身份证号，操作将无法继续，网传帖子的其余步骤也无法进行。　　步骤4：　　　　尝试支付宝在未绑定手机的情况下破解密码　　记者更换一部手机，且解除支付宝账号的手机绑定，重复步骤1、2。记者在选择“忘记登录密码”后，页面提示需要到网页版的支付宝上继续后续步骤，并且依然需要身份证号等信息，依然无法获取密码。　　实验结果：手机丢失后，如果不是知晓失主身份证号码的“熟人”，陌生人拾获手机后，造成支付宝账户资金被盗的可能性极小。　　针对网传的支付宝风险，胡晓明称，最大的问题是木马病毒钓鱼网站，尤其是手机上，99%的被盗跟此相关，其余是用户被骗，而不是因为丢失手机。　　据360手机卫士检测， 2013年新增手机木马数约67.1万个，比2012年增长了4.4倍。2013年全年共监测到Android用户感染恶意程序9747万人次，较2012年全年的5175万人次增长了88.3%。　　为了确保安全，支付宝称，手机丢失之后，应该第一时间打电话给手机运营商挂失SIM卡，以防被用于其他用途；其次如果有银行卡、支付宝等的绑定，也应该及时打电话给上述服务商，进行相关业务的冻结。还可以用电脑登录支付宝账户，关闭无线支付开关，这样手机、iPad等无线终端设备的支付功能将全部关闭。
&&&主编推荐
&&&热门试卷
&&&最新视频
&&&热门阅读
&&&最新问答
&&&&&&&&&&&&&&&
希赛网 版权所有 & &&&&湘教QS2-164&&增值电信业务经营许可证湘B2-}