支付寶出現重大安全漏洞的事件始末與思考
來源:三節課(微信號:sanjieke)
作者:付曉萌
今日(2017年1月10日)凌晨,有知乎網友爆料,支付寶存在一個致命漏洞,陌生人有1/5的機會登錄你的支付寶,而熟人甚至100%可以登錄你的支付寶。
我們第一時間對于該漏洞進行了體驗和確認。經個人親測,只需四步,我就成功地修改了我某位好友的支付寶密碼(當然,在測試之前,我已經告知了對方,所以,對方是知情的)。真的,親測有效。
下面我們可以詳細還原一下這個“成功修改你好友支付寶密碼”的過程。
一、修改好友密碼的全過程
第一步:忘記密碼
只要你添加過一個支付寶好友,你就會知道他的帳號,這個時候,填入這個帳號,選擇“忘記密碼”,你就可以進行到下一步了。
第二步:無法接收短信
當你選擇了“忘記密碼”并選擇“下一步”之后,賬號擁有者的手機會收到關于“校驗碼”的信息。但是,這個時候,操作者是可以選擇“無法接受短信”的。雖然無論如何系統都會觸發一條短信,但如果帳號擁有者沒有及時看到短信,他是不會警覺,也完全不會知道自己的密碼馬上就會被修改的。
第三步:找回密碼
在操作端選擇“無法接收短信”之后,系統會讓你做一些“選擇題”,選一個您“購買過的商品”和選一個您可能“認識的人”,這個時候,如果是你和帳號擁有者是熟人,TA平時的購買喜好和好友,你多試幾次,應該還是很好選的。
而就算你對帳號擁有者不那么熟悉,理論上你也有一定概率可以順利通過這個驗證。
當然,如果你真的被卡在這個環節,也仍然還有出路。你可以點擊上圖“換個方式找回密碼”。
這個時候,系統會給出一些選項,例如刷臉認證呀,回答問題呀等等。
但是,這里有個很可笑的事情:雖然刷臉驗證頁面上提示“要本人親自刷”,但如果這個是根據本人和身份證照片的相似度來判斷的.......就實在是太可怕了......
第四步:重置登錄密碼
這個時候,順利通過驗證的你,已經可以重置對方的支付寶登錄密碼了。帳號擁有者這個時候會收到支付寶的消息提醒,但為時已晚......只能默默抱著手機哭了......
作為一款向來主打“安全、可靠”,以及保存了大量用戶交易信息的應用,這樣的漏洞,絕對可以算得上是“重大事故”級別的了。
至于“被盜號”可能具體意味著什么,支付寶有沒有后續的防范措施來保證用戶的安全等,大體是這樣的——
支付寶中有一個“支付密碼”,這個密碼和登錄密碼是獨立的,所以盜完號后如果不知道支付密碼,理論上無法完成大額消費,但即便如此,你仍然可能會蒙受如下損失——
很多人的支付寶都設置了小額免密支付,所以,盜號者完全可以使用小額免密支付(雖然小額只限200元,但經不住多刷幾個訂單呀)使你損失一筆財產;
盜號者可能會向支付寶里的好友借錢,借到錢了你卻不知道,還遲遲不還,會使你損失一票好友;
你的各種收貨地址、關系人、電話都會被泄露;
你的花唄、余額寶、銀行卡、付款碼等信息也都可能會被泄露;
……
總之,只要不涉及到支付密碼的(友情提示:支付密碼不等于登錄密碼),全都可以操作。
作為帳號擁有者,如果你不幸發現自己被盜號了,你可以選擇快速掛失,也可以按照上述的“修改好友密碼的全過程”,將自己的密碼搶回來。
“快速掛失”的步驟如下:
進入支付寶客戶端,點擊【我的】→【設置】→【賬戶與安全】→【安全中心】→【急救包】→【快速掛失】→【立即掛失】。(友情提示:在此之前,請記得先將余額寶余額中的錢都轉到銀行卡里,然后解綁銀行卡)
還有一件事是需要說明的——如果你的支付寶和淘寶密碼是綁定在一起的,那么,你的支付寶密碼被修改了,意味著你的淘寶密碼也有很大幾率被修改.....你不僅登不了你的支付寶,你還登不了你的淘寶......
二、支付寶的回應
對于如此重大的事故,自然引來關注無數,截止今日中午,幾乎所有的互聯網行業媒體和眾多知名大V都第一時間跟進報道了此事,甚至在下午2點多的時候還驚動了人民網。
今天11:15分的時候,一位阿里員工就曾在知乎回答了“如何看待支付寶重大安全漏洞”的問題,稱10幾天前就在內網反饋過密碼安全的問題,但據說是支付寶團隊內部為了平衡體驗和安全性的問題,就先把問題擱置了。
假設這一回答信息皆為真實,那么這一回答背后,也許頗具深意。
可以據此猜測:支付寶內部,一定長期背負著兩個大的KPI,一個有關于“社交”,例如用戶數關系對在線時間等,另一個則有關于“支付”,例如沉淀金額交易數量投訴數量故障概率等等。
毋庸置疑,這兩個KPI的導向一定是截然不同,甚至有時會出現沖突的。對社交來說,互動才是關鍵,“安全”和“保障”并不那么重要。而對于支付來說,“安全”則是底線。
至少,從如上知乎回答中,我們能隱隱看到的一種心態,是支付寶內部可以認為一些跟支付相關的漏洞“問題沒那么糟”,可以開始忽略掉一部分“支付”相關的保證和安全性。
我們尚無法得知這是官方的態度,還是支付寶某些團隊內部的個人立場,但無論如何,這樣的立場也許是令人擔憂的——對于一款大量沉淀著用戶資金的產品來說,居然可以容忍一個明明自己已經知道的安全漏洞存在,這讓用戶該做何感想?
不出意料的話,此事一出,有很大可能有人要背鍋走人。核心就在于:它所影射和傳遞給用戶的信息,實在太令人擔憂。看看朋友圈那些聲稱“已經清空了支付寶帳號并卸載了支付寶”的消息你就知道事態的嚴重性了。
臨近中午,支付寶官方也給出了正式回應,全文如下——
在官方聲明中,支付寶稱更改密碼是在特定情況下才會實現。通常情況下,用戶找回密碼是需要輸入手機短信驗證碼的,但這部分的解釋實在是太蒼白無力,大家可以回顧一下上面我修改密碼的全過程,我是直接可以選擇“無法收到短信”而忽略這個環節的。
且,即使帳號擁有者收到短信了,就意味著他看到了么?
此外,在官方聲明中也提到支付寶已在第一時間增加了常用設備檢查。在忘記密碼的情況下,在賬號擁有者自己的設備上,只需要填寫身份證號,即可成功登錄。在其他登陸設備上,需要知道帳號擁有者的身份證號和銀行卡信息,或是回答一些安全保護問題,或者是拿到了帳號擁有者的電話,也可以登錄進去,并不涉及修改密碼的部分。
這倒不失為一個成本最低且足夠及時,能夠一定程度上解決問題的回應。但被支付寶這么一折騰,還是感覺很不安全啊。
也不得不感嘆一下,這一年,大家都說百度公關難,但其實支付寶公關也著實不容易啊!無論如何,我們先向他們致以誠摯的慰問吧。
三、從產品層面看支付寶的密碼邏輯和問題
從產品的角度來看,支付寶的找回密碼邏輯,其實是屬于通過“交叉驗證”來判斷用戶身份的過程,這種交叉驗證的模式,已經被很多產品采用了,最典型的是微信和淘寶。交叉驗證的功能是好功能,但場景不同,適用性也是有很大不一樣的。
交叉驗證,有幾個關鍵點,是這個功能能否成功的關鍵點。
1. 是否有可識別的點;
2. 可識別的東西,是否具有私密性;
3. 可識別的東西,對用戶來說,是否有辨識度。
早期采用的大產品是微信,微信會在用戶更換設備登錄時,彈出一個“安全驗證”的界面,你需要選擇兩個好友的頭像后,才能登錄成功。微信只是判斷你是不是“人”“機”一體,如果是一體,則登錄成功,但只能登錄成功而已,不涉及到“修改密碼”這一行為,所以是屬于原有安全性提升,并無不妥,是加分項。
同樣的道理,淘寶在PC端登錄的時候,也會出現這樣的驗證方式,輔助登錄,也無不妥,而且淘寶只是登錄,進入后除了查看商品、退款等操作外,并沒有太多涉及現金的操作,因為涉及現金的操作,是需要支付密碼的。
而對于支付寶來說,采用了和淘寶類似的交叉驗證方式,其實并沒有問題,但問題在于,里面涉及到金錢的功能——“免密支付”,我進入到帳號,你之前只要開通了免密支付,我就可以把錢刷出來了,可以去消費了。
大家吐槽完支付寶,我們可以看看另外一個更奇葩的、不分場景照抄功能的經典例子——微博的交叉驗證方式。
和微信類似的同樣觸發邏輯,同樣的功能,微博讓你通過選出你關注的好友的頭像來完成交叉驗證,但微博的好友關注是公開的,就算是個陌生人,找到了你的微博,照樣也還是知道你的好友的啊,這不是搞笑么?所以大家在吐槽支付寶的時候,為什么沒有那么大規模吐槽微博呢?又回到了本質原因,支付寶跟錢有關,這樣的做法挑戰了用戶潛意識中“做金融的必須安全”的認知。
最后,微信、淘寶甚至微博,都只是通過交叉驗證來輔助用戶“進入”,而支付寶這次是可以直接修改密碼的,這會造成帳號擁有者被踢下來的現象,問題是最大的。
所以,即便從“產品”層面來看,這樣的密碼邏輯和策略,也存在一定問題。至少從“典型用戶場景”來看,我們認為是存在一些問題的。
四、總結
支付寶作為一個支付軟件,和金錢這種超級隱私的東西掛鉤,卻老是搞一些危險的幺蛾子。之前六一時候的“改寶寶后綴”事件,就曾引發全民吐槽,雖然屬于支付寶想給用戶驚喜,但這次屬于產品密碼邏輯的問題,就有點不可原諒了。
從古至今,財產都是一個人最私密的事情,任何事一旦涉及到錢財,就會變得敏感。像我們之前說過的,本是背道而馳的兩條路,硬要拽到一起,肯定是會有痛感的。支付寶想要占據社交平臺這個入口,拼了老命要搞社交,這個可以理解,但,支付才是支付寶一直走下去的保障,而支付安全,則是支付寶最后的底線。一切的幺蛾子,都必須是建立在用戶安全的基礎上的。
網友也評價:之前一直不太使用微信支付,是總在心里覺得社交軟件做支付不安全,萬萬沒想到支付軟件做社交才是大殺器啊......
以及,在今天,我們也在微博和朋友圈看到了有人因為支付寶今天的漏洞開始大量刪除好友的情況存在。
這里倒是不由得替支付寶感嘆一聲:市場和運營們吭哧吭哧干了一兩年走社交路線,集五福的活動推了那么多,AR紅包和年度賬單搞得紅紅火火,好不容易把好友加上去了,現在大家又要開始刪好友了,頗有點一夜就要回到解放前的感覺,支付寶的朋友們,你們還好嗎?
(完)
微信公眾號:三節課(微信號:sanjieke)
轉載請在文章開頭和結尾顯眼處標注:作者、出處和鏈接。不按規范轉載侵權必究。
未經授權嚴禁轉載,授權事宜請聯系作者本人,侵權必究。
本文禁止轉載,侵權必究。
授權事宜請至數英微信公眾號(ID: digitaling) 后臺授權,侵權必究。
評論
評論
推薦評論
暫無評論哦,快來評論一下吧!
全部評論(0條)