当前位置:安全企业动态 → 正文

网曝支付宝新漏洞 专家称恐慌来自隐私保护不够

责任编辑:editor004 作者:姜樊 刘映花 |来源:企业网D1Net  2017-01-11 10:43:43 本文摘自:北京晨报

“只要知道你支付宝里的好友,或者你最近在淘宝买了什么,就能随意更改你的支付宝登录密码。”昨日,一则名为《网曝支付宝新漏洞:熟人可100%登录篡改你支付宝密码》的报道,在各大论坛上引爆关注度。熟人,在这一瞬间似乎变成了带有“马赛克”的黑衣人,让所有支付宝使用者惴惴不安。不过,在此问题曝出之后,支付宝随即提高安全等级。但是一场安全性与便捷性平衡的话题,再度被推上了舆论的制高点。

网曝 登录密码被疑熟人可改

据此前媒体报道称,支付宝存在一个致命漏洞,即他人可以通过支付宝的“找回密码”重置你的支付宝登录密码,并表示“陌生人有1/5的机会登录你的支付宝,而熟人甚至100%可以登录你的支付宝”。

实际上,在新设备上登录支付宝时,通常需要用户重新输入密码才能进入支付宝。不过,在输入密码时,密码框下有一个“找回密码”的按钮。点击按钮之后,支付宝提供多种找回密码的方式,除了发送手机验证码之外,还有识别最近购买的东西或识别好友、回答安全性问题等选项。而后两者则主要是在“无法收到手机短信”的前提下进行的。

也就是说,如果别人知道最近你的购买记录、知道你的好友是谁,或者你设置的问题别人全部知道,就有可能通过这样的设定来修改支付宝的登录密码。

回应 支付宝迅速提高安全等级

对此,支付宝负责人向北京晨报记者回应,这一方式仅在特定情况下才会实现,这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码,不能完成支付。而所谓的特定条件,是支付宝会先对网络环境、账户信息完整程度等进行评估,安全系数高的情况下才会启动。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。

不过,尽管对于自身安全体系信心满满,支付宝还是在昨日上午就提高了安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。

进展 暂无因此失窃案例

支付宝表示,目前暂时还未收到因此而失窃的案例。那么支付宝安全事件又是否存在足以“致命”的隐患?

一位支付安全领域资深人士向北京晨报记者表示,如果这些信息别人都知道,的确有被盗的可能性。但他对于报道中所提及盗用数据有所质疑,他认为这还需要进一步的论证才能评判。“从以往的盗刷案件来讲,实行诈骗的往往会隐匿身份,熟人诈骗的可能性相对较低。”

在他看来,这样的问题是否“致命”,也要看在登录后是否拥有动用资金的权限。也就是说,如果登录之后可以大规模挪用资金,那么其安全风险就相当巨大。

对此支付宝表示,支付宝有两套密码体系,找回登录密码并不意味着能够找回支付密码。而在新设备登录后,即便是小额免密环节,也需要重新输入支付密码才能够继续使用。

分析 隐私保护不够致恐慌

既然并非是“致命”漏洞,为何还会引起如此巨大的社会关注?

支付安全领域资深人士表示,这可能源于原本“一对一”的认证信息被泛化了,所以引发了用户的不安。“比如密码或者手机验证信息,只有用户知道。但你购买了什么东西,或者你的好友有谁,很可能在不经意间将信息共享给了别人。”该资深人士解释道,知道答案的人不唯一,就出现了上述问题。

不过,在上海交通大学密码与计算机安全实验室主任谷大武看来,支付安全应该是“安全”与“隐私”并重,但往往在当下用户对于后者并不重视。“中国用户对于自己消费信息等隐私的保护不够,也造成了当下的恐慌。”

谷大武认为,其实这也是安全性与便捷性平衡的问题。支付安全与便捷性是矛盾的,一味追求安全,则可能导致在真实场景下不可用;但便捷性则可能会让安全性受损。而支付宝此次涉及到的内容,很可能是源于便捷性的探索。

■链接

3年前数据还在黑市交易

网络账户的安全挑战来自于多个方面。比如,平台本身设计存在漏洞,黑客攻击,甚至安全软件“监守自盗”等。

针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为,很多互联网公司都与警方建立了长效的合作机制。然而,数据被不断地在黑市交易,让账户风险阴魂不散。

“不管什么原因,信息一旦泄露,就像撕开了一个口子。进入地下黑色产业链后,更可能被多次贩卖。也就是说三四年前泄露的数据,可能现在还在卖。”一位电商人士向记者表示。

在大部分数据外泄后,黑客会先进行洗库,登录账户将有价值的内容清洗一遍,比如登录游戏账户将虚拟币转走,或将QQ号倒卖。第二次“洗”是对于个人信息的收集,有些账户可能包括个人信息内容,这些会卖给那些需要的人;第三次“洗”是关联手机号的信息,卖给转发垃圾短信的,这样一层层“洗”下去直到没有价值为止,才会将数据出售。

在“黑市”,用户的数据被“明码标价”。据媒体报道,比如12G的数据包价格从“10万到70万”不等,每位用户的个人敏感信息平均只值1分钱。

提醒

遇到泄露的情况要立即修改账号密码;

支付账号、社交账号、常用邮箱、网络购物这些网站要单独设置密码;

不要在不常用的、安全系数较低的网站设置与自己主要网站账号相同的密码;

接到陌生人或者客服电话不要轻信;

每隔三个月就要对密码进行一次修改,防止黑客撞库等。

■记者手记

纠结“证明我是我”

不如完善追回机制

网上对于支付宝安全性的质疑,说得高端一些是“认证核实”的问题,但说通俗一些,又是那个老生常谈的“如何证明我是我”的问题,只不过这次是在网上。

其实,这在互联网金融安全领域而言是个难题:在信息泄露严重的时代,在线下都很难证明的事情,搬到网上去证明,难度可想而知。但这又是个不得不做的事情,毕竟真实“忘记密码”的需求还是存在的。

诚如谷大武所言,支付安全与便捷性是天生矛盾的。在当下,除了运用可信的第三方(如通过电信公司发送短信验证码)之外,似乎并没有太多技术可用。当然,谷大武也表示,如果未来电子身份证得以普及,可能将是解决这个问题的钥匙,但这是后话。

其实与其纠结如何在网络上证明“我就是我”,不如转换一种思路。实际上,放眼海外,很多人使用信用卡并不设置密码。当然,银行卡现在以IC卡芯片为主,其不可复制性自身就已经在事前形成一道安全壁垒。但如果发生盗刷,其事后完善的追回机制,也让持卡人更加放心地使用。

如果放在互联网支付时代,这无疑是个极好的事例。在一笔交易发生前,现在已经拥有了密码等安全措施作为保障。而交易过程中,互联网平台是否能够及时监控风险和异常,比如银联在免密时设置了“商铺白名单”,从而阻绝可能发生的盗刷情况;交易结束后,如果发生盗刷情况,是否有完备的追回机制和赔偿手段,比如说支付宝的盗刷险等,都能够促进消费者对于安全的认可。

所以笔者认为,在网上解决“证明我是我”的问题,不仅需要金融基础设施建设的进一步加快,也需要支付企业真正形成可行优质的事前、事中、事后可追溯的机制,才能更好地解决安全与便捷性之间的问题。

关键字:支付宝 隐私

本文摘自:北京晨报

网曝支付宝新漏洞 专家称恐慌来自隐私保护不够 扫一扫
分享本文到朋友圈

关于我们联系我们版权声明友情链接广告服务会员服务投稿中心招贤纳士

企业网版权所有©2010-2017 京ICP备09108050号-6

^