【实测】关于支付宝修改密码存在的问题


来源:聂某人    2016-12-21 14:16

前段时间,各路媒体报道了苏州地区大面积出现支付宝账户被盗后,修改密码依然被盗刷情况(可点击文末链接查看报道)。

聂某人看到这篇文章后进行了实际测试,发现的确存在这一问题,各位吃瓜群众,都赶紧检查下自己的账户吧!

案件还原测试

昨晚有网友爆料,支付宝账户、密码丢失后,发现修改密码也无效,依然也会被强行在手机端被迫下线,从而后续出现盗刷事件。

根据情况,进行了实际测试,在此先说下测试的经过,再说结论(结论在文末倒数第二段)。

拿三台手机,第一台是常登陆的手机(假设为用户手机,机型为苹果),第二台和第三台,均为盗窃者的手机(称为:A手机,B手机,均为安卓)。

三个测试手机,均下载最新版客户端,9.9.7版本,11月24日更新。

开始测试(首先要拿到用户的登录信息,这个太高深,聂某人不会,就用自己的账号做了测试)

1、在自己的手机登陆支付宝账户,一切状态正常(账户名使用的是淘宝账户,假设为aaa,后续均用这个登录)。

2、犯罪份子用A手机,登陆支付宝账户aaa,支付宝会认为是新设备,提示选择回答问题进行登录。经过反复登录测试,提示的几个问题是:

A、您曾经购买过的商品;(9个选项);

B、您可能认识的人;(我的里面几乎没什么好友)(6个选项);

C、您曾经登录过的WIFI(6个选项,这个问题,我压根不知道,瞎猜回答);

说实话,聂某人的账户是给其他人用,我基本不用,所以商品就也瞎猜,WIFI瞎猜,好友很少,这个没猜,一眼就知道是谁。

支付宝的风控在这起了一定作用,但后续没完全起作用。

当第一次回答问题错误后,支付宝给绑定的手机发送了短信,要求短信验证(这个直接忽略不去使用);

此时采取关闭程序,重新打开登录,依然选择回答问题登录,特别巧合,两次尝试就登录进去了(当然也有可能登录不进去);

3、犯罪份子用C手机(第三台手机),登录支付宝账户aaa,厉害了word姐!竟然没有任何的问题提示,直接进去!

这个不会是支付宝认为我这个账户习惯性的登录新设备,就给取消新设备验证了?

4、下面的操作就简单了,支付宝最高可以设置2000元以内的免密,随便购物吧;

5、此时,用户手机在犯罪份子登录成功后会提示如下图,提示下线,要求重新登录。用户一般会直接登录,然后修改密码(修改的是淘宝的用户aaa对应的密码),但是无用。。。

6、犯罪份子用C手机,依然使用未修改的用户密码,继续登录成功,不需要其他验证,然后用户手机又提示被迫下线。

问题所在?

那么,问题来了?!

为什么修改了密码,仍然会被用原来的密码登录?

聂某人仔细看了下自己的账户,发现登录有2个登录用户名(如下图)

一个是淘宝用户名aaa,另外一个是单独的支付宝用户名,bbb。

(历史问题,很早支付宝和淘宝分离,很多用户的用户名也采用了分离方案,后来又合并)

在使用淘宝用户名aaa登陆后,修改的却是bbb对应的密码,这个大家可以自己实验。

用aaa登录,修改完登录密码,aaa反而登录不了了,支付宝会自动将登陆用户名切换到bbb去,然后使用新密码,登录成功!

(修改完密码后,一般不会提示重新登录,所以用户不知道修改的密码情况)

这个就是为什么用户被盗后,登录后修改密码无效的秘密了吧?

希望支付宝方面,多重视下自己的支付安全吧,尽快修复这个漏洞!

这种情况下,用户很难从支付宝那拿到索赔的。。。哎!!!

互联网金融,不是你想爱就能爱。。。

平时要保护个人的手机、账户等信息不要泄露,大家还是小心为上。。。

相关文章

月点击排行
关于本站    联系我们    手机版
Copyright © 2011-2017 移动支付网    粤ICP备11061396号-5     粤公网安备 44030602000994号