V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
dcsite
V2EX  ›  分享发现

支付宝重大漏洞,只需知道银行卡和手机号即可改密码

  •  3
     
  •   dcsite · 2017-01-10 10:48:12 +08:00 · 16041 次点击
    这是一个创建于 2874 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2017-01-11 14:51:13 +08:00
    详细描述一下:

    公司同事说能进入我的支付宝,我不信,然后打赌。
    两分钟后阿里巴巴发短信说密码已更改,这时我的淘宝和支付宝都被退出登陆。
    交易记录和余额宝的余额信息被泄露就不用说了。

    原因:
    公司财务把工资卡号统一每三个月在部门群里截图出来核对。手机号就不用说了。

    然后,同事开始互相改密码,然后挂失支付宝。

    后续:
    支付宝挂失后,第二天发现,只要刷脸解锁,然后会收到支付宝短信,输入验证码就可取消挂失。问题是,我从来没用过刷脸,连指纹支付都不敢设。这又是怎么一会事?

    我不怕一千万,因为:我打过支付宝客服电话后,承诺会给我个说法,到现在( 24 小时过去了)也没回复。我只是描述我的经历,没有任何虚假。
    82 条回复    2023-05-06 10:43:27 +08:00
    P99LrYZVkZkg
        1
    P99LrYZVkZkg  
       2017-01-10 10:49:10 +08:00
    短信验证码呢?
    finab
        2
    finab  
       2017-01-10 10:51:06 +08:00 via iPhone
    刚我同事在我没给任何帮助下的情况下,成功修改了我的密码。
    dcsite
        3
    dcsite  
    OP
       2017-01-10 10:53:50 +08:00
    我也是~ 密码随便就被同事改了,还直接登录了~ 不说资金了,隐私全无~

    TMD 支付宝~ 销号,能用微信就用微信吧
    dcsite
        4
    dcsite  
    OP
       2017-01-10 10:54:12 +08:00
    @P99LrYZVkZkg 不需要任何验证码
    qinxi
        5
    qinxi  
       2017-01-10 10:55:22 +08:00
    我通过同事的身份号也进入他的重置密码界面~
    P99LrYZVkZkg
        6
    P99LrYZVkZkg  
       2017-01-10 11:02:42 +08:00
    公司的财务不是知道全公司的银行卡+手机号?包括 boss 的?
    P99LrYZVkZkg
        7
    P99LrYZVkZkg  
       2017-01-10 11:03:20 +08:00
    @finab @dcsite 在新设备还是以前登陆过的设备?
    murmur
        8
    murmur  
       2017-01-10 11:04:12 +08:00

    都怪你们
    现在不给玩了
    appppap
        9
    appppap  
       2017-01-10 11:04:50 +08:00 via iPhone
    还真是啊,随便点两张图片就能改密码了。
    finab
        10
    finab  
       2017-01-10 11:05:39 +08:00
    @P99LrYZVkZkg 在他自己的手机上,方法是 ,输入我邮箱点找回密码,之后发手机验证码,点收不到,之后点 9 张图之一,里面有我同事,然后再点 9 张图,有我以前买的一个电高压锅,然后就可以设置新密码了。
    P99LrYZVkZkg
        11
    P99LrYZVkZkg  
       2017-01-10 11:09:09 +08:00
    @finab 修改以后在新设备登录需要手机确认么?
    dcsite
        12
    dcsite  
    OP
       2017-01-10 11:12:24 +08:00
    @P99LrYZVkZkg 不需要验证,直接登录。我同事只知道我银行卡和手机号,就登录进去了。
    已挂失,打客服电话,他们也不知道,只说向上面反馈然后给我答复。
    finab
        13
    finab  
       2017-01-10 11:12:46 +08:00 via iPhone
    @P99LrYZVkZkg 没登录,但是看别人试了登陆的 好像没有。
    admol
        14
    admol  
       2017-01-10 11:16:28 +08:00
    怎么操作的啊
    tghgffdgd
        15
    tghgffdgd  
       2017-01-10 11:21:17 +08:00
    是不是这种情况还会被归到熟人作案不赔偿?
    dcsite
        16
    dcsite  
    OP
       2017-01-10 11:23:35 +08:00   ❤️ 2
    @tghgffdgd 是的,刚打客服电话,是这样解释的,说是因为你自已的身份信息泄漏导致的。
    justlikemaki
        17
    justlikemaki  
       2017-01-10 11:33:10 +08:00
    @admol 退出登录,忘记密码
    Halry
        18
    Halry  
       2017-01-10 11:36:38 +08:00 via iPhone
    所以我把钱全部转到银行
    lihua1358
        19
    lihua1358  
       2017-01-10 11:39:12 +08:00
    @justlikemaki 同一台设备上实验没啥说服力吧
    justlikemaki
        20
    justlikemaki  
       2017-01-10 11:42:53 +08:00
    @lihua1358 应该还有同 ip 的校验吧
    Baymaxbowen
        21
    Baymaxbowen  
       2017-01-10 11:45:16 +08:00 via Android
    要是还玩社交那真的💊
    xvx
        22
    xvx  
       2017-01-10 11:51:19 +08:00 via iPhone
    不知道我这种支付宝没加过一个好友的账号,能不能这样重置密码呢。
    venster
        23
    venster  
       2017-01-10 11:51:58 +08:00 via iPhone   ❤️ 3
    @Baymaxbowen 所以应该在朋友圈里赶紧说一下:马上删掉所有支付宝好友,要不然被盗了不赔偿。
    justlikemaki
        24
    justlikemaki  
       2017-01-10 11:52:12 +08:00
    需要银行卡的验证也是要手机收银行的验证码的吧
    xycool
        25
    xycool  
       2017-01-10 11:55:26 +08:00
    准备好了两千万吗?
    loading
        26
    loading  
       2017-01-10 12:04:07 +08:00 via Android
    新设备存在这个问题吗?
    chmlai
        27
    chmlai  
       2017-01-10 12:11:24 +08:00
    支付宝不是号称大数据风控吗
    Baymaxbowen
        28
    Baymaxbowen  
       2017-01-10 12:12:11 +08:00 via Android
    @venster 已经把钱全部转出来了,随他了,已经不打算在里面放钱了,不知道这波支付婊要亏多少
    iCyMind
        29
    iCyMind  
       2017-01-10 12:17:33 +08:00 via iPhone
    网友: BA 一直致力于让 T 成为一家受人尊敬的企业
    Wy4q3489O1z996QO
        30
    Wy4q3489O1z996QO  
       2017-01-10 12:23:27 +08:00
    @Halry 然而小额支付不需要密码,照样能从你卡里面取钱~
    再也不敢鄙视那些不敢往支付宝、微信上绑定银行卡的人了...
    sneezry
        31
    sneezry  
       2017-01-10 12:26:22 +08:00 via iPhone
    @murmur 这个是对方挂失了
    z742364692
        32
    z742364692  
       2017-01-10 12:43:48 +08:00 via Android
    @dcsite 这肯定是自己的信息泄露嘛,怎么能怪支付宝,支付宝是粑粑啊,你们这些屁民真是的
    wolfan
        33
    wolfan  
       2017-01-10 12:59:16 +08:00
    话说,这个,银行会不会用这个 Bug 把咱的小钱钱全转回银行?
    saggit
        34
    saggit  
       2017-01-10 13:01:47 +08:00
    支付钱包做社交有风险啊。
    Jimrussell
        35
    Jimrussell  
       2017-01-10 13:06:34 +08:00 via Android
    你同事和你都连着公司的 WiFi 么??
    onlyhot
        36
    onlyhot  
       2017-01-10 13:06:41 +08:00 via iPhone
    之前我发帖还没人理,淘宝小二可以直接冻结支付宝余额,而且支付宝账户明细看不到记录。我已经把钱全转到银行卡了
    Jimrussell
        37
    Jimrussell  
       2017-01-10 13:06:53 +08:00 via Android
    xfspace
        38
    xfspace  
       2017-01-10 13:11:27 +08:00 via Android
    hhh ,阿里系全家桶采集了多少数据来保证这个“安全问题”。
    echopan
        39
    echopan  
       2017-01-10 13:39:31 +08:00
    我把支付宝挂失了 gg
    Infernalzero
        40
    Infernalzero  
       2017-01-10 13:47:07 +08:00
    其实这事的性质和 61 的时候那个宝宝事件差不多,贵宝的产品经理太喜欢搞些刷存在感的功能而忘记了自己本应该干什么
    WenJimmy
        41
    WenJimmy  
       2017-01-10 13:49:44 +08:00
    话说回来,怎么销号?
    salary123
        42
    salary123  
       2017-01-10 13:53:52 +08:00   ❤️ 1
    这哪门子漏洞,,早就知道可以这么做。
    buckyRRRR
        43
    buckyRRRR  
       2017-01-10 13:56:14 +08:00 via Android
    @salary123 这是产品经济傻逼
    zhtubo
        44
    zhtubo  
       2017-01-10 14:08:34 +08:00
    支付寶風控系統已升級.
    Quaintjade
        45
    Quaintjade  
       2017-01-10 14:11:43 +08:00
    其实同一台设备上能操作并不算设计缺陷,因为设备指纹是一个验证因素,银行卡 /手机号 /过去购买的产品作为另外的验证因素,已经算是多因素验证了。

    我上次裱支付宝是因为它曾经自己吹牛说,即便同一台设备只要使用者不同它都能分辨出来,然而并不能。
    另一个就是它吹牛说自己还有保险能兜底,给用户虚假的安全感,然而许多条件都会导致“疑似熟人作案”不予理赔。
    hecter777
        46
    hecter777  
       2017-01-10 14:14:47 +08:00 via Android
    那么问题来了,怎么彻底销号,然后渣宝还有什么方便的付款方式?
    zangev5
        47
    zangev5  
       2017-01-10 14:29:23 +08:00
    支付宝已草拟好好多份 ten million 的起诉书。
    yukiww233
        48
    yukiww233  
       2017-01-10 14:54:53 +08:00
    要同一台设备
    还要知道支付密码或是开小额免密...这和银行卡被人拿到还被知道密码好像也没多大区别

    不过支付鸨推荐开小额免密确实是傻逼
    leavic
        49
    leavic  
       2017-01-10 15:17:07 +08:00
    支付宝是不是把原来做支付的团队都开掉了,让做社交团队的接手了?
    leavic
        50
    leavic  
       2017-01-10 15:20:00 +08:00
    为了更好提升用户的安全感,在接到网友反映后,我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。
    ===============
    呵呵,我回头看看支付宝怎么销号,反正现在京东用得多了。
    lc4t
        51
    lc4t  
       2017-01-10 15:27:22 +08:00 via iPhone
    2 年前发现了淘宝和支付宝都有这个问题..算是个社工可破的逻辑缺陷.. 然后并不改
    SuperMild
        52
    SuperMild  
       2017-01-10 15:27:39 +08:00
    我还是相信支付宝,因为它在风口浪尖,有 bug 马上被闹得沸沸扬扬,然后 bug 就被修复了,我感觉这也是安全啊。
    hackpro
        53
    hackpro  
       2017-01-10 15:28:08 +08:00   ❤️ 3
    r#49 @leavic NoNoNo ,开掉的不是做支付的,开掉的是做安全的抢月饼的
    Ouyangan
        54
    Ouyangan  
       2017-01-10 15:32:33 +08:00
    支付宝 , 很脑残的产品 , 不再信任了.
    trythebest
        55
    trythebest  
       2017-01-10 15:37:27 +08:00
    哈哈,月饼事件呢位安全兄弟说,后悔了吧,出事了吧。
    imn1
        56
    imn1  
       2017-01-10 15:49:48 +08:00
    @trythebest
    支付宝:三个月后又是一条好汉,你们哪次嚷嚷有超过三个月的,上次全部去打一星也就几十天而已,成不了气候。下架我都不怕,还怕嚷嚷么?
    benmao
        57
    benmao  
       2017-01-10 17:59:20 +08:00
    不信任就不要用。。天天就会瞎 BB
    cheny95
        58
    cheny95  
       2017-01-10 18:34:24 +08:00
    Quaintjade
        59
    Quaintjade  
       2017-01-10 18:43:24 +08:00 via Android
    @yukiww233
    从支付宝自己的公告来看,应该是今天才改成限同设备的,之前好像是加了好友的都可以用这方法。小额免密应该有许多人开着,毕竟支付宝自己是推荐开的。
    Doubear
        60
    Doubear  
       2017-01-10 19:32:02 +08:00
    @cheny95 莫名喜感……😄
    daniellu
        61
    daniellu  
       2017-01-10 20:19:45 +08:00
    某乎很多人早试过了,不同网络,不同平台,不同手机,都可以的,只是很多人知道的晚,据说早上 10 点之后,就不能简单的点好友或者点买过的东西直接进去了。其它方式应该还是有逻辑漏洞的。
    KirkZheng
        62
    KirkZheng  
       2017-01-10 20:20:40 +08:00 via Android
    自从变成支付婊果断弃用,要么现金,要么微信,一个支付工具那么多乱七八糟的功能。实名认证取消不了让我有点没安全感。
    ichigo
        63
    ichigo  
       2017-01-10 21:58:21 +08:00
    iv2ex 不用支付宝不是政治正确吗,不是很多人早就根本不用支付宝吗,为什么还是这么多人出来又声称一遍卸载支付宝?难道之前的卸载又装回去了吗?这是诈尸吗?
    honeycomb
        64
    honeycomb  
       2017-01-10 22:01:38 +08:00
    @ichigo
    --iv2ex 不用支付宝不是政治正确吗?

    应该是的

    --不是很多人早就根本不用支付宝吗?

    应该是的

    --什么还是这么多人出来又声称一遍卸载支付宝?
    这是个新人

    --难道之前的卸载又装回去了吗?
    新人之前并未卸载过

    --这是诈尸吗?
    因此不像是诈尸
    cos
        65
    cos  
       2017-01-10 22:36:20 +08:00
    所以说,网络支付工具还是别绑定银行卡,别存现金,支付时通过网银付款。当然,搞了实名认证的,仍存在风险,那就是花呗之类的贷款工具。。。。
    ichubei
        66
    ichubei  
       2017-01-10 22:46:56 +08:00 via Android
    支付密码和登录密码不同
    taoyu1994x
        67
    taoyu1994x  
       2017-01-10 22:49:42 +08:00 via Android
    @finab 不过只是登录支付宝吧?如果要支付还是要支付密码
    peneazy
        68
    peneazy  
       2017-01-10 23:19:09 +08:00
    还有啥安全的互联网产品。。
    mingyun
        69
    mingyun  
       2017-01-10 23:46:12 +08:00
    吓得我赶紧把支付宝卸载了
    ooh
        70
    ooh  
       2017-01-11 00:11:01 +08:00
    我记得支付宝好像有个验证码是要找出下面哪个是你认识的人,我只想对想出这个招数的 PM 说一句 nmb ,反正我记忆里我一次都没有找到哪个是我认识的人
    FreeDog
        71
    FreeDog  
       2017-01-11 08:08:28 +08:00
    @leavic 昨天连上地铁公共 Wi-Fi 时不小心打开了京东金融,发现余额以及赎回页面被插入小广告了。。可见还是 HTTP 的页面,可以被拦截和篡改,这也太不安全了。
    m939594960
        72
    m939594960  
       2017-01-11 09:53:03 +08:00
    @benmao 这和你行你上的观点有什么区别?真的弱智。
    benmao
        73
    benmao  
       2017-01-11 13:25:59 +08:00 via iPhone
    @m939594960 就你不弱智 你聪明的猪脑袋怎么没看你去阿狸那里解决实际问题
    dcsite
        74
    dcsite  
    OP
       2017-01-11 14:32:45 +08:00
    @z742364692 银行卡和手机号能有多隐私?我承认很多人都知道我这两个信息。
    z742364692
        75
    z742364692  
       2017-01-11 14:37:21 +08:00
    @dcsite 回复这个干嘛啊,看看就过去了嘛
    m939594960
        76
    m939594960  
       2017-01-11 15:39:00 +08:00
    @benmao 呵呵,我用个东西还得想怎么帮这个东西解决实际问题?
    benmao
        77
    benmao  
       2017-01-11 16:43:42 +08:00 via iPhone
    @m939594960 多嘴不是你的错 臭嘴就是你的错喽 是不是小学基础素质教育没学好?跑这里来喷粪了?
    m939594960
        78
    m939594960  
       2017-01-11 17:58:58 +08:00
    @benmao
    第一:你的账号应该是降权了,应该没少被人 block ,你 @ 我我根本收不到,还得到帖子里来找。

    第二:是你先臭嘴的。


    我觉得这个 APP 不行我还不能说了?还不能讨论了?还不能让他改进了?我非得自己做出来一个?你这思维弱智就弱智吧,你还说别人瞎 BB 。
    Khlieb
        79
    Khlieb  
       2017-01-11 21:04:14 +08:00 via Android
    看样子阿里表面上为安全下大力气,实际却在捞钱上下的功夫远比真正投入到客户安全上面的多
    benmao
        80
    benmao  
       2017-01-11 23:02:18 +08:00 via iPhone
    @m939594960 无脑男 估计也就说的你这种 喷子越来越多 回家多补点钙粉
    m939594960
        81
    m939594960  
       2017-01-12 09:01:21 +08:00
    @benmao 哈哈 谁是喷子,谁无脑?你可真的搞笑啊。
    yueloong
        82
    yueloong  
       2023-05-06 10:43:27 +08:00
    保价不是卖家的事吗?买家扫什么码!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1358 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 17:37 · PVG 01:37 · LAX 09:37 · JFK 12:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.