支付宝又曝重大漏洞,个人电子数据安全该如何保证?

admin 2022年1月6日03:53:40安全新闻评论24 views962字阅读3分12秒阅读模式
支付宝又曝重大漏洞,个人电子数据安全该如何保证?
点击上方“安全优佳” 可以订阅哦!

在不知道密码的情况下,如果你处在“可信环境”,通过验证已购买的商品或者相关信息来修改登录密码,的确可行。

天啊,你不是说是炒作么,怎么又说的确可行了呢?这么可怕的漏洞,支付宝为什么坐视不管呢?支付宝究竟还能不能用了啊?别急,今天来给你好好分析一下,这到底是怎样一回事。

首先,我们的结论是“的确可行”,但是可行的意思并不是百分百可行。有点绕,什么意思呢?意思就是说:存在利用这种方式进行修改密码的可能性,但并不是说就一定能够通过这样的方式成功修改密码。

网上到处都在说这个漏洞的问题。那我们就先来实际操作一下,看看网上说的支付宝重置密码漏洞到底是怎样一个操作流程:

① 首先点击“忘记密码”

支付宝又曝重大漏洞,个人电子数据安全该如何保证?

② 输入账号后,等待接收验证短信

支付宝又曝重大漏洞,个人电子数据安全该如何保证?

选择无法接收短信

③ 点击无法接收验证码后,通过选择你所购买的商品即可通过验证

支付宝又曝重大漏洞,个人电子数据安全该如何保证?

选择购买过的商品

④ 修改密码成功

真的就这么简单就能成功修改密码么?

答案是:YES。的确,在可信环境下,可以通过验证已购买商品、点选认识的人、连过的wifi名称等简单的信息来修改支付宝的登陆密码。但是请注意,上述的一切前提都必须是在“可信环境”下,才能够完成。那么,什么是可信环境?它究竟有什么用呢?

在我们对支付宝重置密码功能进行多次测试后,我们发现支付宝重置密码时所需要的信息并不是网上所说的这么简单,测试结果如下:

支付宝又曝重大漏洞,个人电子数据安全该如何保证?

忘记密码的操作验证

图片太复杂,直接上结论:

① 获得手机验证码后,能直接修改密码

② 可信环境下,获得基本信息,能直接修改密码

③ 不可信环境下,需要详细信息,才能修改密码

本次网络上热议的“支付宝漏洞”,其实是讨论的第二条,即:可信环境下的熟人偷盗行为。如同事之间,或者家人之间,相同的网络环境下或者坐标,就常处于一种可信环境。

当你处在可信环境下时,支付宝会认为你的重置密码请求有很大程度是你本人发起的。在这种情况下,为了用户体验和安全的平衡,重置密码所需的信息就仅仅需要一些基本信息即可重置。

从某种程度上来讲,这应该算是一种业务风险,而不能算作是一种漏洞。支付宝作为一种涉及资金安全的支付工具,在验证的信息上面,还是应该做到尽可能的复杂一点好。


支付宝又曝重大漏洞,个人电子数据安全该如何保证?

安全优佳

http://news.secwk.com

长按识别左侧二维码,关注我们


本文始发于微信公众号(安全优佳):支付宝又曝重大漏洞,个人电子数据安全该如何保证?

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月6日03:53:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  支付宝又曝重大漏洞,个人电子数据安全该如何保证? http://cn-sec.com/archives/525609.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: