正所謂千里之堤潰于蟻穴,再牛逼的安全體系,只要存在一個(gè)漏洞,也會(huì)被攻破。趁著315這個(gè)特殊的日子,小編為大家揭露一下大多數(shù)人都用到的支付寶有什么驚天大漏洞。這一回,哪怕會(huì)得罪支付寶,文章也要上。如果文章要修改,那小編只想增加一句,“本文所述漏洞已經(jīng)完全修復(fù)好”。 看一個(gè)網(wǎng)上支付工具是否安全,就看在用戶有安全意識(shí)的情況下是否能讓用戶放心。如果因?yàn)槌霈F(xiàn)手機(jī)丟失或者手機(jī)SIM被人補(bǔ)辦這種人算不如天算的事,就導(dǎo)致網(wǎng)上支付工具里的錢全部被盜,那根本就不能稱之為安全可靠。把用戶賬號(hào)的安全大權(quán)交給第三方(移動(dòng)運(yùn)營(yíng)商)來(lái)保管,這根本就是一個(gè)錯(cuò)誤。然而,犯錯(cuò)的支付寶并沒(méi)有失去什么,為錯(cuò)誤買單的反而是無(wú)比信賴支付寶的用戶,這就是“顧客就是上帝”的反證…… 在本文即將完成之際,小編突然發(fā)現(xiàn)支付寶已經(jīng)簡(jiǎn)單地修復(fù)那個(gè)“一條短信就可以修改支付密碼”的驚天大漏洞,這值得表?yè)P(yáng),但也讓小編好受傷,為什么不等小編把文章發(fā)出去再修復(fù)漏洞呢,那小編只好重新修改文章再發(fā)布。如果想罵小編的,請(qǐng)看完全文再罵,謝謝。 好文不羅嗦,啰嗦沒(méi)好文。在繼續(xù)閱讀之前,希望大家能幫忙做個(gè)調(diào)查問(wèn)卷。 小編為什么非要跟支付寶過(guò)不去? 很多人可能在問(wèn)小編天天“黑”支付寶圖的是啥?小編只想說(shuō),圖的是支付寶把坑爹的驚天漏洞完美地修復(fù)好,讓本來(lái)體驗(yàn)非常不錯(cuò)的網(wǎng)上支付工具變得絕對(duì)安全可靠,而不是像之前那樣讓人在深入了解“漏洞”之后對(duì)之完全沒(méi)有信心。 其實(shí)小編使用支付寶的時(shí)間還不到兩年,但已經(jīng)將支付寶的功能研究得七七八八,通過(guò)支付寶幫朋友購(gòu)物倒騰錢達(dá)40多萬(wàn)。因此說(shuō),小編最愛(ài)用的網(wǎng)上支付工具就是支付寶,因?yàn)橹Ц秾毥o了我們免費(fèi)轉(zhuǎn)賬的機(jī)會(huì)。 在2012年7月中旬,小編就以一篇《支付寶安全嗎?4條短信5分鐘盜空支付寶》來(lái)詳盡介紹支付寶的漏洞。當(dāng)時(shí)是希望支付寶能在文章發(fā)布后馬上修復(fù)這個(gè)漏洞,讓用戶不怕在丟了手機(jī)之后就提心吊膽怕支付寶被盜,畢竟有多少人沒(méi)有丟手機(jī)的經(jīng)歷。 雖然支付寶沒(méi)有修復(fù)這個(gè)坑爹的漏洞,但卻在9月左右推出了一個(gè)敢用敢賠的支付寶服務(wù),這也讓小編算是暫時(shí)放下心來(lái)。 在使用支付寶的過(guò)程中,小編還把自己使用支付寶轉(zhuǎn)賬的心得撰寫成文分享出去,此時(shí),我還認(rèn)為支付寶是比較安全的(在手機(jī)不丟失的情況下)。 然而,當(dāng)小編以為自己發(fā)現(xiàn)的漏洞只是一個(gè)假設(shè)的時(shí)候,多個(gè)專業(yè)的小偷竟然把小編的假設(shè)變成真實(shí),從而發(fā)生多起因?yàn)?a class="cmsLink" target="_blank">手機(jī)丟失而被盜的支付寶案件(詳見第四頁(yè))。 在眾多支付寶被盜案件中,有一位網(wǎng)店賣家通過(guò)各種途徑找到小編向我哭訴他支付寶的1.9多元是怎么被盜的(被盜原因,移動(dòng)SIM卡被人異地補(bǔ)辦),并且支付寶官方拒絕無(wú)過(guò)失的支付寶被盜受害人的索賠(拒賠原因,不符合索賠細(xì)則中某一條)。這一刻,小編平時(shí)再冷血也被刺激了,敢用敢賠說(shuō)得這么好聽,為什么此刻卻拒賠并且不告訴用戶拒賠的原因,這是什么服務(wù),店大欺客? 跟支付寶公關(guān)人員電話理論半小時(shí)無(wú)結(jié)果之后,小編已經(jīng)決定,不讓支付寶認(rèn)識(shí)自己的“漏洞”是一個(gè)多么恐怖的存在并且不修復(fù)好的話,誓不罷休。 于是乎,等春節(jié)過(guò)后,小編就開始收集支付寶被盜的新聞并加以分析被盜原因,目的之一就是讓網(wǎng)友知道支付寶被盜是什么原因?qū)е碌,目的之二是希望支付寶官方能關(guān)注到這個(gè)坑爹的漏洞并想辦法修復(fù)(目的算是已經(jīng)基本達(dá)到,但離最終目的還有很遠(yuǎn))。 終于,在小編撰寫此文的時(shí)候,支付寶終于簡(jiǎn)簡(jiǎn)單單地算是修復(fù)了那個(gè)為小偷提供無(wú)限便利的BUG(如上圖,修改支付密碼的時(shí)候加多了需要輸入證件號(hào)碼一步)。 支付寶還存在什么漏洞? 曾經(jīng)讓小偷受益無(wú)限的“4條短信5分鐘盜空支付寶”的漏洞已經(jīng)算是不存在了,但并不能說(shuō)沒(méi)有漏洞了。目前還有的漏洞就是支付寶開通快捷支付無(wú)需輸入銀行卡的取款密碼。這漏洞意味著假如讓小偷收集了用戶身份證號(hào)、銀行卡號(hào)和跟銀行卡綁定的手機(jī)號(hào),那么小偷不但能將你支付寶的錢盜空,就連銀行卡的錢也能通過(guò)快捷支付全部盜空。 小編建議支付寶這樣修復(fù)漏洞 早在上年,小編就曾經(jīng)多次對(duì)支付寶提出了如何修復(fù)漏洞的建議,結(jié)果吃上了閉門羹…… 要讓支付寶變得絕對(duì)安全可靠,小編是這樣建議的。一,修改登錄密碼和支付密碼必須是兩種不同方式(例如短信和郵箱兩種模式);二,手機(jī)用戶要找回密碼,必須要求他輸入身份證或者銀行卡號(hào);三,修改最后的支付密碼,如果無(wú)法輸入之前的支付密碼,必須用手機(jī)短信加郵件同時(shí)確認(rèn);四,開通快捷支付必須輸入銀行卡取款密碼,取款密碼一旦修改必須要再次開通快捷支付才能使用快捷支付功能。 對(duì)于用戶來(lái)說(shuō),或許修改密碼的方式變得麻煩一點(diǎn),但這樣絕對(duì)安全,給人一種就算丟了手機(jī)、銀行卡、身份證三件套也無(wú)法讓小偷破譯支付寶密碼的感覺(jué)。因?yàn)橐谱g支付寶和快捷支付,還得自己的郵件確認(rèn)和輸入銀行卡的取款密碼。
|