卢松松博客

网曝支付宝漏洞:手机丢了,支付宝也就完了

 人参与 | 时间:2013年10月16日 10:18

天涯论坛上爆出了支付宝的一个安全的帖子(支付宝设计业务流程的同学准备下岗吧!)大意是:手机丢了的话,支付宝账号和密码都有了。

测试场景:捡到一个手机,只要你的手机绑定了支付宝,没有银行卡身份证其他的任何东西,就通过这个手机顺利提现支付宝余额。至于支付宝的数字证书、支付密码依然是通过手机找回密码,短信验证即可。陆密码,数字证书,支付密码都被攻克了,已经把余额宝钱转出来了。

[email protected]验证环境不是普遍环境,测试者是在自己机器上做的测试,经常登录的机器,支付宝识别为当前帐号可信机器,取回支付密码只需要短信验证。如果不是可信机器,网页版是需要另外提供身份证号码和银行卡号的。是不是这样,建议大家拿别人的机器试试,不带这样黑的。

[email protected]

1.使用余额宝、快捷支付被盗造成的资金损失,支付宝都会给予全额补偿,补偿金额无上限。

2.数字证书并非是最高安全等级产品,推荐使用支付宝手机钱包中的手机宝令。

3.手机丢失也会威胁银行账户手机请设置密码,手机丢失是一种风险。但由于纯依赖手机号码权限不够,还需要验证附加密码或信息。目前纯粹因为手机丢失所发生的威胁,多数是熟人关系。需要注意的是,银行的客服也会识别来电手机号码,所以手机还是建议设置锁屏密码。

顶: 0踩: 0

来源:,欢迎分享,(QQ/微信:13340454)

原文地址:http://lusongsong.com/blog/post/768.html

必填

选填

选填

◎已有 38 人评论,微信搜:QQ13340454

1楼晶晶博客社区  2015-05-28 00:17:28
感觉还是不太安全呢!
顶: 0踩: 0 回复
2楼sunyouu  2014-01-19 07:03:39
我只知道似乎所有取回密码之类的行为在非可信机器上都得实名验证,并非一条短信就能了事,还需要身份证之类的,手机客户端上也是,所以通过手机验证码找回密码根本不可行,修改过程中需要第三方其他绑定信息的验证。。
顶: 0踩: 0 回复
3楼sunyou  2014-01-19 07:02:43
我只知道似乎所有取回密码之类的行为在非可信机器上都得实名验证,并非一条短信就能了事,还需要身份证之类的,手机客户端上也是,所以通过手机验证码找回密码根本不可行,修改过程中需要第三方其他绑定信息的验证。
顶: 0踩: 0 回复
4楼折伴网  2013-10-29 21:24:42
哎 现在手机真的是越来越重要了绑定了太多的东西了!一旦丢失后果很严重
顶: 0踩: 0 回复
5楼支持一下  2013-10-27 12:38:03
来了,看看
顶: 0踩: 0 回复
6楼商虞钢卷尺信息网  2013-10-22 15:43:43
那自己兜里的钱丢了,岂不是更不安全,之所有用手机保护,完全是因为手机在自己手里
顶: 0踩: 0 回复
7楼最ACG  2013-10-21 10:14:13
感觉还是不太安全呢
顶: 0踩: 0 回复
8楼恒琪  2013-10-19 12:49:20
不绑定手机不就没事了?绑定了的解除绑定不就行了?解除不了的,换个支付宝,把钱全部转到新号不就行了
小事一桩何足挂齿
顶: 0踩: 0 回复
9楼武汉吃喝玩乐网  2013-10-17 21:34:37
我自己也是用的余额宝 我的网站也开通了支付宝收款
顶: 0踩: 0 回复
10楼声卡驱动器官方下载  2013-10-17 19:46:01
立刻就辟谣了
顶: 0踩: 0 回复
11楼IT职场博客  2013-10-17 19:28:14
呼呼 伤不起啊 这要是手机掉了那我所有的钱基本就玩完了 呼呼
顶: 0踩: 0 回复
12楼会员卡制作官网  2013-10-17 18:59:46
原来还真没有想过这个问题
顶: 0踩: 0 回复
13楼3D微享网  2013-10-17 17:48:14
好吓人啊啊,万一手机丢了?
顶: 0踩: 0 回复
14楼囧闻囧事网  2013-10-17 17:23:23
网络安全必须时刻谨记!
顶: 0踩: 0 回复
15楼高职高考网  2013-10-17 16:28:37
亲呐,锁屏是可以破解滴
顶: 0踩: 0 回复
16楼名人故事网  2013-10-17 16:12:43
在这个网络时代,网络安全是必须要注意的,稍不留神就破财了。
顶: 0踩: 0 回复
17楼遗弃小屋  2013-10-17 14:50:51
貌似现在一个手机一个身份证,绑定了自己很多网络资源。哪一个丢失,都可能引起大麻烦。
顶: 0踩: 0 回复
18楼2461小游戏  2013-10-17 13:38:12
手机丢了,不仅仅是这个麻烦。。丢什么都麻烦
顶: 0踩: 0 回复
19楼不灭的活  2013-10-17 08:47:30
保护好手机啊,现在支付宝余额多的也不在少数吧
顶: 0踩: 0 回复
20楼代写程序代写代码  2013-10-17 08:18:04
我也不大信得过支付宝。
顶: 0踩: 0 回复
21楼代写程序代写代码  2013-10-17 08:17:48
千万别把太多钱放在支付宝里。
顶: 0踩: 0 回复
22楼软文代写网  2013-10-16 22:27:20
我现在每次进支付宝后就一定要推出了,支付宝应该设备个多少时间不动他要密码的程序!!!
顶: 0踩: 0 回复
23楼软文代写网  2013-10-16 22:26:58
我现在每次进支付宝后就一定要推出了,支付宝应该设备个多少时间不动他要密码的程序!
顶: 0踩: 0 回复
24楼地摊网地摊论坛  2013-10-16 18:25:03
我的论坛就是这个程序
顶: 0踩: 0 回复
25楼野狼建都  2013-10-16 17:12:19
我也觉得太危险了 伤不起啊 !!!
顶: 0踩: 0 回复
26楼泡媚吧  2013-10-16 15:05:50
真有这么大的漏洞?
顶: 0踩: 0 回复
27楼指尖阁  2013-10-16 14:57:27
虽然支付宝登录进去要手势密码 但是淘宝支付什么的 一件快捷支付
顶: 0踩: 0 回复
28楼美丽打扮  2013-10-16 14:15:07
支付宝手机软件不是有屏幕锁的吗?人家有设置的话起码也要破解屏幕锁先吧!
顶: 0踩: 0 回复
29楼虚拟主机服务商  2013-10-16 14:14:20
太危险了吧!
顶: 0踩: 0 回复
30楼阿甘淘客论坛  2013-10-16 13:44:37
手机丢了可以及时的挂失

顶: 0踩: 0 回复
31楼廖俊媛  2013-10-16 13:39:25
如果手机丢了,那么手机没有密码,手机上的支付宝也没设置手势解锁,,,怎么办,,,我就是,,,怕麻烦
顶: 0踩: 0 回复
32楼逆袭网赚  2013-10-16 13:10:05
没用手机支付过
顶: 0踩: 0 回复
33楼小鬼哥  2013-10-16 12:53:27
只能转账到绑定的银行吧?
顶: 0踩: 0 回复
34楼King  2013-10-16 12:16:16
很早之前就有大牛讨论过了,典型的逻辑漏洞。
顶: 0踩: 0 回复
35楼yizhewangpu  2013-10-16 12:00:08
我不用手机支付哈! 嘻嘻
顶: 0踩: 0 回复
36楼21氪  2013-10-16 11:28:31
太可怕了
顶: 0踩: 0 回复
37楼广州万程微波设备有限公司  2013-10-16 11:24:00
黑的好,这样支付宝才能改进。
顶: 0踩: 0 回复
38楼声卡驱动器官方下载  2013-10-16 11:21:32
黑的好啊。
顶: 0踩: 0 回复
39楼罗胜  2013-10-16 10:54:09
手机不绑定,邮箱绑定了,但是加了一道手机锁,如果手机丢了估计也麻烦。
顶: 0踩: 0 回复