前段时间,各路媒体报道了苏州地区大面积出现支付宝账户被盗后,修改密码依然被盗刷情况(可点击文末链接查看报道)。
聂某人看到这篇文章后进行了实际测试,发现的确存在这一问题,各位吃瓜群众,都赶紧检查下自己的账户吧!
案件还原测试
昨晚有网友爆料,支付宝账户、密码丢失后,发现修改密码也无效,依然也会被强行在手机端被迫下线,从而后续出现盗刷事件。
根据情况,进行了实际测试,在此先说下测试的经过,再说结论(结论在文末倒数第二段)。
拿三台手机,第一台是常登陆的手机(假设为用户手机,机型为苹果),第二台和第三台,均为盗窃者的手机(称为:A手机,B手机,均为安卓)。
三个测试手机,均下载最新版客户端,9.9.7版本,11月24日更新。
开始测试(首先要拿到用户的登录信息,这个太高深,聂某人不会,就用自己的账号做了测试)
1、在自己的手机登陆支付宝账户,一切状态正常(账户名使用的是淘宝账户,假设为aaa,后续均用这个登录)。
2、犯罪份子用A手机,登陆支付宝账户aaa,支付宝会认为是新设备,提示选择回答问题进行登录。经过反复登录测试,提示的几个问题是:
A、您曾经购买过的商品;(9个选项);
B、您可能认识的人;(我的里面几乎没什么好友)(6个选项);
C、您曾经登录过的WIFI(6个选项,这个问题,我压根不知道,瞎猜回答);
说实话,聂某人的账户是给其他人用,我基本不用,所以商品就也瞎猜,WIFI瞎猜,好友很少,这个没猜,一眼就知道是谁。
支付宝的风控在这起了一定作用,但后续没完全起作用。
当第一次回答问题错误后,支付宝给绑定的手机发送了短信,要求短信验证(这个直接忽略不去使用);
此时采取关闭程序,重新打开登录,依然选择回答问题登录,特别巧合,两次尝试就登录进去了(当然也有可能登录不进去);
3、犯罪份子用C手机(第三台手机),登录支付宝账户aaa,厉害了word姐!竟然没有任何的问题提示,直接进去!
这个不会是支付宝认为我这个账户习惯性的登录新设备,就给取消新设备验证了?
4、下面的操作就简单了,支付宝最高可以设置2000元以内的免密,随便购物吧;
5、此时,用户手机在犯罪份子登录成功后会提示如下图,提示下线,要求重新登录。用户一般会直接登录,然后修改密码(修改的是淘宝的用户aaa对应的密码),但是无用。。。
6、犯罪份子用C手机,依然使用未修改的用户密码,继续登录成功,不需要其他验证,然后用户手机又提示被迫下线。
问题所在?
那么,问题来了?!
为什么修改了密码,仍然会被用原来的密码登录?
聂某人仔细看了下自己的账户,发现登录有2个登录用户名(如下图)
一个是淘宝用户名aaa,另外一个是单独的支付宝用户名,bbb。
(历史问题,很早支付宝和淘宝分离,很多用户的用户名也采用了分离方案,后来又合并)
在使用淘宝用户名aaa登陆后,修改的却是bbb对应的密码,这个大家可以自己实验。
用aaa登录,修改完登录密码,aaa反而登录不了了,支付宝会自动将登陆用户名切换到bbb去,然后使用新密码,登录成功!
(修改完密码后,一般不会提示重新登录,所以用户不知道修改的密码情况)
这个就是为什么用户被盗后,登录后修改密码无效的秘密了吧?
希望支付宝方面,多重视下自己的支付安全吧,尽快修复这个漏洞!
这种情况下,用户很难从支付宝那拿到索赔的。。。哎!!!
互联网金融,不是你想爱就能爱。。。
平时要保护个人的手机、账户等信息不要泄露,大家还是小心为上。。。
展开全文
- 移动支付网 | 2022/8/25 17:21:59
- 移动支付网 | 2022/8/25 9:19:30
- 移动支付网 | 2022/8/19 10:18:54
- 移动支付网 | 2022/8/18 14:39:02
- 移动支付网 | 2022/8/16 15:07:44
- 移动支付网 | 2022/8/3 19:19:30
- 移动支付网 | 2022/8/3 11:39:36
- 移动支付网 | 2022/8/2 18:26:50
- 移动支付网 | 2022/8/1 20:40:55
- 移动支付网 | 2022/8/1 18:12:35
- 央行清算总中心 | 2022/7/18 17:13:39
- 中国科技投资 | 2022/5/11 9:21:21
- 广州市海珠区人民法院 | 2022/2/23 18:57:18
- 星洲网 | 2022/2/17 10:22:56
- 中国侨网 | 2021/12/17 17:24:34