就在今早，編輯在上班路上忽然收到了一條支付寶驗證碼的短信，察覺到異常后立刻打開了支付寶客戶端，結(jié)果被嚇出了冷汗：

支付寶手機(jī)客戶端(手機(jī)支付平臺) v10.6.80.8000 安卓免費(fèi)版

• 類型：生活服務(wù)
• 大?。?/span>188MB
• 語言：簡體中文
• 時間：2025-02-09

查看詳情

他發(fā)現(xiàn)自己的支付寶賬號竟正被別人登錄，隨即他收到一條朋友發(fā)來的微信消息：

我剛才用網(wǎng)上流傳的“支付寶致命漏洞”來重置你的登錄密碼，竟然成功了！你還不知道嗎？朋友圈都傳開啦！

支付寶漏洞？編輯隨即打開朋友圈，發(fā)現(xiàn)已經(jīng)有很多網(wǎng)絡(luò)安全圈內(nèi)的朋友都轉(zhuǎn)了一條名為“支付寶驚現(xiàn)致命漏洞，快解綁你的銀行卡”的報道。

報道中稱，有網(wǎng)友發(fā)現(xiàn)支付寶在登錄方式上存在致命的邏輯漏洞，導(dǎo)致熟人之間可以相互登錄對方的支付寶賬號，流程大致如下：

進(jìn)入「忘記密碼」界面后，選擇「無法接受短信」，這時候會出現(xiàn)兩個相關(guān)問題：一、在9張圖片當(dāng)中找出你認(rèn)識的人 ；二、選擇與您有關(guān)的地址。

只要成功答對這兩道問題，就可以重置該支付寶賬號的密碼，并且在登錄后可以正常使用免支付密碼的快捷支付功能，直接使用對方支付寶中的資金。

很快，隨著該消息在朋友圈內(nèi)的傳播，越來越多的人表示自己收到支付寶登錄驗證短信，以及相關(guān)的賬號異常提醒。許多人開始用身邊朋友的支付寶賬號來嘗試復(fù)現(xiàn)該漏洞。

有人表示，周圍已經(jīng)有不下十人成功登錄了身邊朋友的支付寶賬號，甚至有網(wǎng)絡(luò)安全高手也中招了，由此他判斷此次問題可能非常嚴(yán)重。

真實成功率如何？

編輯在對周圍朋友的支付寶賬號進(jìn)行了大約7~8 次嘗試后，成功重置了自己女朋友的支付寶密碼，這是在雙方十分了解，知道對方認(rèn)識的人、購物記錄和家庭住址等情況的前提下實現(xiàn)的。雖然結(jié)果確實令人驚訝，但成功率并沒有網(wǎng)上說的那么夸張——“陌生人有五分之一的機(jī)會登錄你支付寶，熟人有百分之百的機(jī)會登錄你的支付寶”。

在測試中我們發(fā)現(xiàn)，兩個測試題會隨機(jī)出現(xiàn)“你認(rèn)識的人”、“和你相關(guān)的地址”、“你曾經(jīng)買過的東西”等不同的問題，只要答錯一兩次，該種方式就會被屏蔽，只允許使用其他方式找回密碼，并且其他的方式也會在嘗試失敗后逐漸被屏蔽，這似乎觸發(fā)了支付寶的某種安全機(jī)制。

【驗證失敗后驗證方式會發(fā)生變化】

在多次試驗后，編輯發(fā)現(xiàn)自己無論使用誰的支付寶賬號，都無法再使用之前那種通過相關(guān)信息來重置密碼的方式。

至上午10點左右，周圍不少在測試該漏洞的朋友也表示自己測試失敗，只有在自己的常用設(shè)備下才能觸發(fā)相關(guān)消息找回。有安全從業(yè)者表示：“支付寶響應(yīng)很快，據(jù)說目前已經(jīng)對風(fēng)控進(jìn)行了調(diào)整。”

支付寶官方回應(yīng)

至上午11點50分左右，支付寶官方微博發(fā)出聲明，對此次事件進(jìn)行了公告，全文如下：

雖然目前螞蟻金服方面尚未給出具體的風(fēng)控手段解析，但據(jù)了解，支付寶風(fēng)控和阿里聚安全應(yīng)用了同一套技術(shù)基礎(chǔ)，據(jù)此，可以判斷支付寶也應(yīng)用了以下風(fēng)控手段：

風(fēng)險信息庫

對于支付寶的所有的驗證登錄數(shù)據(jù)，都會被收錄到風(fēng)險信息庫中。每一個風(fēng)險用戶和背后的手機(jī)、郵箱、IP地址、身份證號都會被記錄在案。

設(shè)備指紋

對于每一臺登錄支付寶的設(shè)備，風(fēng)控措施都會為了給設(shè)備定義一個獨特的指紋，系統(tǒng)會收集多維度的信息，例如：

— App的基本信息。其中包括 App 的名稱、版本等，也包括集成 SDK 的版本信息。

—設(shè)備信息。包括設(shè)備的名稱、型號、系統(tǒng)、IMEI號、MAC地址。（iOS 設(shè)備只能獲取部分信息）

—網(wǎng)絡(luò)信息。wifi、4G等參數(shù)。

—公開的接口信息。例如軟件ID、開發(fā)者ID。

通過以上信息綜合算出設(shè)備的“指紋ID”。這個 ID 相當(dāng)于設(shè)備的身份證。當(dāng)硬件發(fā)生變動時，只要改動的部件低于一定比例，仍會被認(rèn)定為是同一臺設(shè)備。

根據(jù)支付寶的公告，目前已調(diào)整風(fēng)控等級，支付寶的風(fēng)控措施會在背后判斷根據(jù)以上的設(shè)備指紋來判斷是否是用戶的常用設(shè)備，用戶僅僅在自己的設(shè)備上才能使用相關(guān)信息才能使用“相關(guān)信息驗證”的方式來登錄。

因此，現(xiàn)在已經(jīng)不必再著急解綁自己的銀行卡了，更重要的應(yīng)該是，看好自己的手機(jī)！

相關(guān)閱讀：

支付寶怎么防止密碼被熟人找回 支付寶防止密碼被他人找回的解決辦法

支付寶無法實名認(rèn)證怎么辦 支付寶實名認(rèn)證被占用解決方法

支付寶怎么綁定網(wǎng)商銀行 支付寶綁定網(wǎng)商銀行方法教程