得罪也要上!小編深度揭露支付寶大漏洞

2013-03-15 23:53  出處:PConline原創(chuàng)  作者:xiaohu   責(zé)任編輯:太平洋科技 

  正所謂千里之堤潰于蟻穴,再牛逼的安全體系,只要存在一個(gè)漏洞,也會(huì)被攻破。趁著315這個(gè)特殊的日子,小編為大家揭露一下大多數(shù)人都用到的支付寶有什么驚天大漏洞。這一回,哪怕會(huì)得罪支付寶,文章也要上。如果文章要修改,那小編只想增加一句,“本文所述漏洞已經(jīng)完全修復(fù)好”。

  看一個(gè)網(wǎng)上支付工具是否安全,就看在用戶有安全意識(shí)的情況下是否能讓用戶放心。如果因?yàn)槌霈F(xiàn)手機(jī)丟失或者手機(jī)SIM被人補(bǔ)辦這種人算不如天算的事,就導(dǎo)致網(wǎng)上支付工具里的錢全部被盜,那根本就不能稱之為安全可靠。把用戶賬號(hào)的安全大權(quán)交給第三方(移動(dòng)運(yùn)營(yíng)商)來(lái)保管,這根本就是一個(gè)錯(cuò)誤。然而,犯錯(cuò)的支付寶并沒(méi)有失去什么,為錯(cuò)誤買單的反而是無(wú)比信賴支付寶的用戶,這就是“顧客就是上帝”的反證……

  在本文即將完成之際,小編突然發(fā)現(xiàn)支付寶已經(jīng)簡(jiǎn)單地修復(fù)那個(gè)“一條短信就可以修改支付密碼”的驚天大漏洞,這值得表?yè)P(yáng),但也讓小編好受傷,為什么不等小編把文章發(fā)出去再修復(fù)漏洞呢,那小編只好重新修改文章再發(fā)布。如果想罵小編的,請(qǐng)看完全文再罵,謝謝。

得罪也要上!小編深度揭露支付寶大漏洞

  好文不羅嗦,啰嗦沒(méi)好文。在繼續(xù)閱讀之前,希望大家能幫忙做個(gè)調(diào)查問(wèn)卷。

    你認(rèn)為支付寶是不是應(yīng)該修復(fù)漏洞?
  • 1.你認(rèn)為目前支付寶存在安全上的漏洞嗎?(單選)
  • 存在,并且應(yīng)該盡快修復(fù)讓用戶放心
  • 不存在
  • 2.你認(rèn)為支付寶簡(jiǎn)單修復(fù)漏洞的原因是?(單選)
  • 支付寶終于發(fā)現(xiàn)那真的是一個(gè)漏洞
  • 網(wǎng)友的圍觀改變了支付寶
  • 被小編“黑”得就范
  • 3.你對(duì)小編的看法是?(單選)
  • 原來(lái)這周來(lái)天天黑支付寶的是你
  • 小編很無(wú)恥,以黑支付寶來(lái)賺IP
  • 感謝小編提供了小偷進(jìn)階手冊(cè)
  • 感謝小編把支付寶漏洞公諸于世

小編為什么非要跟支付寶過(guò)不去?

  很多人可能在問(wèn)小編天天“黑”支付寶圖的是啥?小編只想說(shuō),圖的是支付寶把坑爹的驚天漏洞完美地修復(fù)好,讓本來(lái)體驗(yàn)非常不錯(cuò)的網(wǎng)上支付工具變得絕對(duì)安全可靠,而不是像之前那樣讓人在深入了解“漏洞”之后對(duì)之完全沒(méi)有信心。

  其實(shí)小編使用支付寶的時(shí)間還不到兩年,但已經(jīng)將支付寶的功能研究得七七八八,通過(guò)支付寶幫朋友購(gòu)物倒騰錢達(dá)40多萬(wàn)。因此說(shuō),小編最愛(ài)用的網(wǎng)上支付工具就是支付寶,因?yàn)橹Ц秾毥o了我們免費(fèi)轉(zhuǎn)賬的機(jī)會(huì)。

得罪也要上!小編深度揭露支付寶大漏洞
試問(wèn)一個(gè)不喜歡用支付寶的人敢這樣玩錢?(點(diǎn)擊看大圖,下同)

  在2012年7月中旬,小編就以一篇《支付寶安全嗎?4條短信5分鐘盜空支付寶》來(lái)詳盡介紹支付寶的漏洞。當(dāng)時(shí)是希望支付寶能在文章發(fā)布后馬上修復(fù)這個(gè)漏洞,讓用戶不怕在丟了手機(jī)之后就提心吊膽怕支付寶被盜,畢竟有多少人沒(méi)有丟手機(jī)的經(jīng)歷。

 支付寶安全嗎
點(diǎn)擊圖片閱讀原文

  雖然支付寶沒(méi)有修復(fù)這個(gè)坑爹的漏洞,但卻在9月左右推出了一個(gè)敢用敢賠的支付寶服務(wù),這也讓小編算是暫時(shí)放下心來(lái)。

支付寶敢用敢賠會(huì)員服務(wù)
支付寶敢用敢賠會(huì)員服務(wù)

  在使用支付寶的過(guò)程中,小編還把自己使用支付寶轉(zhuǎn)賬的心得撰寫成文分享出去,此時(shí),我還認(rèn)為支付寶是比較安全的(在手機(jī)不丟失的情況下)。

支付寶
點(diǎn)擊圖片閱讀原文

   然而,當(dāng)小編以為自己發(fā)現(xiàn)的漏洞只是一個(gè)假設(shè)的時(shí)候,多個(gè)專業(yè)的小偷竟然把小編的假設(shè)變成真實(shí),從而發(fā)生多起因?yàn)?a class="cmsLink" target="_blank">手機(jī)丟失而被盜的支付寶案件(詳見第四頁(yè))。

 得罪也要上!小編深度揭露支付寶大漏洞
支付寶被盜案件不斷發(fā)生

  在眾多支付寶被盜案件中,有一位網(wǎng)店賣家通過(guò)各種途徑找到小編向我哭訴他支付寶的1.9多元是怎么被盜的(被盜原因,移動(dòng)SIM卡被人異地補(bǔ)辦),并且支付寶官方拒絕無(wú)過(guò)失的支付寶被盜受害人的索賠(拒賠原因,不符合索賠細(xì)則中某一條)。這一刻,小編平時(shí)再冷血也被刺激了,敢用敢賠說(shuō)得這么好聽,為什么此刻卻拒賠并且不告訴用戶拒賠的原因,這是什么服務(wù),店大欺客?

  跟支付寶公關(guān)人員電話理論半小時(shí)無(wú)結(jié)果之后,小編已經(jīng)決定,不讓支付寶認(rèn)識(shí)自己的“漏洞”是一個(gè)多么恐怖的存在并且不修復(fù)好的話,誓不罷休。

  于是乎,等春節(jié)過(guò)后,小編就開始收集支付寶被盜的新聞并加以分析被盜原因,目的之一就是讓網(wǎng)友知道支付寶被盜是什么原因?qū)е碌,目的之二是希望支付寶官方能關(guān)注到這個(gè)坑爹的漏洞并想辦法修復(fù)(目的算是已經(jīng)基本達(dá)到,但離最終目的還有很遠(yuǎn))。

丟了手機(jī)等于丟了密碼?網(wǎng)銀安全性小測(cè)
支付寶終于簡(jiǎn)單地修復(fù)了那個(gè)一條短信修改支付密碼的漏洞

  終于,在小編撰寫此文的時(shí)候,支付寶終于簡(jiǎn)簡(jiǎn)單單地算是修復(fù)了那個(gè)為小偷提供無(wú)限便利的BUG(如上圖,修改支付密碼的時(shí)候加多了需要輸入證件號(hào)碼一步)。

支付寶還存在什么漏洞?

  曾經(jīng)讓小偷受益無(wú)限的“4條短信5分鐘盜空支付寶”的漏洞已經(jīng)算是不存在了,但并不能說(shuō)沒(méi)有漏洞了。目前還有的漏洞就是支付寶開通快捷支付無(wú)需輸入銀行卡的取款密碼。這漏洞意味著假如讓小偷收集了用戶身份證號(hào)、銀行卡號(hào)和跟銀行卡綁定的手機(jī)號(hào),那么小偷不但能將你支付寶的錢盜空,就連銀行卡的錢也能通過(guò)快捷支付全部盜空。

 小編建議支付寶這樣修復(fù)漏洞

  早在上年,小編就曾經(jīng)多次對(duì)支付寶提出了如何修復(fù)漏洞的建議,結(jié)果吃上了閉門羹……

  要讓支付寶變得絕對(duì)安全可靠,小編是這樣建議的。一,修改登錄密碼和支付密碼必須是兩種不同方式(例如短信和郵箱兩種模式);二,手機(jī)用戶要找回密碼,必須要求他輸入身份證或者銀行卡號(hào);三,修改最后的支付密碼,如果無(wú)法輸入之前的支付密碼,必須用手機(jī)短信加郵件同時(shí)確認(rèn);四,開通快捷支付必須輸入銀行卡取款密碼,取款密碼一旦修改必須要再次開通快捷支付才能使用快捷支付功能。

  對(duì)于用戶來(lái)說(shuō),或許修改密碼的方式變得麻煩一點(diǎn),但這樣絕對(duì)安全,給人一種就算丟了手機(jī)、銀行卡、身份證三件套也無(wú)法讓小偷破譯支付寶密碼的感覺(jué)。因?yàn)橐谱g支付寶和快捷支付,還得自己的郵件確認(rèn)和輸入銀行卡的取款密碼。

相關(guān)閱讀:

用專業(yè)小偷的角度看 盜空支付寶有多簡(jiǎn)單?

//pcedu.pconline.com.cn/321/3213737.html

 

另類測(cè)試
用專業(yè)小偷的角度看 盜空支付寶有多易?
用專業(yè)小偷的角度看 盜空支付寶有多易?

真相有多可怕,讓小編化成專業(yè)小偷,用專業(yè)小偷的角度告訴大家,盜空支付寶有多難(應(yīng)該說(shuō),盜空支付寶有多容易)。強(qiáng)插一句:除了支付寶之外,財(cái)付通以及各種網(wǎng)銀不會(huì)因?yàn)槟銇G了手機(jī)...

xiaohu 2013-03-14 評(píng)論: 251 標(biāo)簽: 另類測(cè)試  

小編實(shí)測(cè) 釣魚網(wǎng)站是如何騙你QQ密保的?
小編實(shí)測(cè) 釣魚網(wǎng)站是如何騙你QQ密保的?

釣魚網(wǎng)站是如何騙你QQ密碼和QQ密保的?估計(jì)很多網(wǎng)友都只聽到釣魚網(wǎng)站有多恐怖,但沒(méi)親身體驗(yàn)過(guò)釣魚網(wǎng)站是如何坑爹的(感覺(jué)就像你聽過(guò)老虎吃人是如何可怕,但卻沒(méi)親身遇見過(guò)一只快餓死...

xiaohu 2013-03-11 評(píng)論: 34 標(biāo)簽: 軟件圖解   另類測(cè)試  

支付寶攤上大事?手機(jī)號(hào)棄用也被盜1.2萬(wàn)
支付寶攤上大事?手機(jī)號(hào)棄用也被盜1.2萬(wàn)

支付寶這回又?jǐn)偵洗笫铝,支付寶的“驚天大漏洞”再一次被小偷成功利用并盜取了12000余元。一張被棄用的手機(jī)卡到底藏有什么秘密,90后女生小林她媽媽銀行卡里的1.2萬(wàn)多元是如何被支付...

xiaohu 2013-03-06 評(píng)論: 84 標(biāo)簽: 手機(jī)號(hào)碼測(cè)吉兇   另類測(cè)試  

我給它跪了!小編點(diǎn)評(píng)淫穢信息掃描器
我給它跪了!小編點(diǎn)評(píng)淫穢信息掃描器

淫穢信息掃描器可以快速的掃描指定盤符下的淫穢信息,包括圖片、電影、小說(shuō)等文件,可以幫助家長(zhǎng)朋友快速清理掉電腦上不健康的信息。小編試用了一下,直接給它跪了。...

佚名 2013-03-05 評(píng)論: 59 標(biāo)簽: 另類測(cè)試   坑爹軟件評(píng)測(cè)  

開通兩年黃鉆!搶注QQ空間專屬域名和手機(jī)號(hào)
開通兩年黃鉆!搶注QQ空間專屬域名和手機(jī)號(hào)

騰訊QQ近日推出了一個(gè)名為“搶注空間專屬域名”的活動(dòng),QQ用戶只要一次性開通2年黃鉆豪華版,即可搶注一個(gè)QQ空間專屬域名和對(duì)應(yīng)的手機(jī)號(hào)碼。...

盛夏Veya 2013-01-23 評(píng)論: 31 標(biāo)簽: 手機(jī)號(hào)碼測(cè)吉兇   另類測(cè)試  

四核浪費(fèi)錢?實(shí)測(cè)安卓應(yīng)用多核心利用效率
四核浪費(fèi)錢?實(shí)測(cè)安卓應(yīng)用多核心利用效率

四核安卓機(jī)似乎已經(jīng)泛濫得連菜市場(chǎng)都有賣,但四核帶來(lái)高性能的同時(shí)也以更快的速度掏空我們的錢包。PC平臺(tái)剛開始流行四核的時(shí)候就出現(xiàn)過(guò)軟硬件脫節(jié)核心閑置的問(wèn)題,那么安卓四核到底有...

Aimo 2012-11-22 評(píng)論: 261 標(biāo)簽: 安卓應(yīng)用   另類測(cè)試  

手機(jī)號(hào)慘遭補(bǔ)卡!支付寶41分鐘被盜千元
手機(jī)號(hào)慘遭補(bǔ)卡!支付寶41分鐘被盜千元

鄭州有一淘寶賣家的支付寶被盜了上千元,被盜前該用戶早就開通了支付寶引以為豪的一切免費(fèi)安全服務(wù),被盜原因原來(lái)是該用戶的手機(jī)卡被支付寶大盜用假身份證重新掛失補(bǔ)卡了。...

xiaohu 2012-11-12 評(píng)論: 86 標(biāo)簽: 手機(jī)號(hào)碼測(cè)吉兇   另類測(cè)試  

查看更多