¿Qué pasó con una vulnerabilidad importante en Alipay?
En la madrugada del 10 de enero, algunos internautas expusieron en Weibo que había una vulnerabilidad de seguridad en el inicio de sesión de Alipay después de que conocidos ingresaran a sus cuentas usando el nombre de usuario de una parte, optaron por recuperar la contraseña en lugar de ingresar la contraseña. Contraseña: Ingrese la información relacionada con amigos o conocidos que hayan pasado en la siguiente opción de autenticación y podrá iniciar sesión con éxito y realizar pagos sin secretos.
En la mañana del día 10, el personal de Alipay respondió a una entrevista con un reportero del Global Times y dijo que se habían enterado de la información expuesta por los internautas esta mañana temprano. Lo que los internautas dijeron era una seguridad. También se han eliminado las lagunas al iniciar sesión en las cuentas Alipay de otras personas. El miembro del personal dijo que el personal del negocio relacionado con la seguridad de Alipay está dando seguimiento e investigando esto, y que aún necesitan esperar una respuesta y explicación más detallada del mundo exterior.
El proceso de inicio de sesión de Alipay expuesto por los internautas anteriormente es el siguiente:
1. Abra la interfaz de inicio de sesión de Alipay, ingrese el número de cuenta y haga clic en Olvidé mi contraseña
2 Después de ingresar el número de cuenta, haga clic directamente para no poder recibir mensajes de texto
3. Aquí hay muchos métodos de verificación, elija el método que conoce, verificación de conocido, información de amigo que conoce
5. Después de la modificación, inicie sesión directamente en la cuenta, tenga todas las funciones y admita pagos sin contraseña
Los internautas que expusieron la noticia dijeron que a través de la vulnerabilidad de Alipay, los extraños tienen 1/ Hay 5 posibilidades de iniciar sesión en Alipay de otras personas, e incluso 100 conocidos pueden iniciar sesión en Alipay de otras personas.
Cuando el periodista utilizó este método para iniciar sesión, no había ninguna opción para verificar la información de amigos o conocidos en el proceso de inicio de sesión "Olvidé mi contraseña" de Alipay. Sin embargo, otro internauta reveló al Global Times que después de que los usuarios inician sesión en su cuenta Alipay en el teléfono de otra persona, aún pueden encontrar la opción de iniciar sesión a través de la información de amigos o conocidos cuando inician sesión nuevamente en ese teléfono. que la vulnerabilidad parece ser Alipay no ha "borrado" completamente.
En respuesta a la situación anterior, Alipay respondió que el método de verificación se ha actualizado y que aún se puede garantizar la seguridad de los fondos de los usuarios. El Weibo oficial de Alipay respondió urgentemente a las 11:56 del día 10, diciendo que las lagunas mencionadas anteriormente existen "bajo ciertas circunstancias". “Para mejorar la sensación de seguridad de los usuarios, después de recibir comentarios de los internautas, esta mañana mejoramos aún más el nivel de seguridad del sistema de control de riesgos. Actualmente, sólo en el propio teléfono móvil del usuario puede identificar los productos comprados recientemente. sus amigos. Este método no se puede utilizar para recuperar la contraseña de inicio de sesión a través de otros dispositivos móviles "Y una vez que el usuario inicie sesión en Alipay en otros dispositivos, su dispositivo recibirá una notificación.
El siguiente es el texto completo de la respuesta de Alipay:
Hemos recibido informes de internautas de que pueden recuperar su contraseña de inicio de sesión de Alipay identificando amigos y artículos comprados recientemente.
Este enfoque sólo es posible en determinadas circunstancias. Normalmente, los usuarios deben ingresar al menos un código de verificación por SMS de su teléfono móvil para recuperar su contraseña de inicio de sesión. Para algunos usuarios que temporalmente no pueden recibir mensajes de texto o que han cambiado sus dispositivos móviles, nuestro sistema de control de riesgos primero realizará una evaluación (como la integridad de la información de la cuenta, el entorno de red y otros factores). Cuando el factor de seguridad es alto, se pide a los usuarios que respondan una serie de preguntas de seguridad. Sólo después de que las respuestas sean correctas se puede cambiar la contraseña de inicio de sesión.
Esta estrategia solo puede recuperar la contraseña de inicio de sesión, pero no puede recuperar la contraseña de pago simplemente respondiendo las preguntas de seguridad. Y una vez que el Alipay del usuario inicie sesión en otros dispositivos, el dispositivo personal recibirá un recordatorio de notificación.
Para mejorar la sensación de seguridad de los usuarios, después de recibir comentarios de los internautas, hemos mejorado aún más el nivel de seguridad del sistema de control de riesgos. Actualmente, sólo en el teléfono móvil del usuario, la contraseña de inicio de sesión se puede recuperar identificando los artículos comprados recientemente e identificando a los amigos. Este método no se puede utilizar para recuperar la contraseña de inicio de sesión a través de otros dispositivos móviles.
También invitamos a los usuarios a continuar brindando comentarios y sugerencias sobre nuestra política de seguridad, y la mejoraremos y modificaremos aún más en función de sus comentarios.