• RSS订阅 加入收藏  设为首页
台湾宾果作弊

网曝支付宝新破绽 专家称“惊恐”来自隐私保护不敷_大香蕉新闻乐点彩票大发不时彩

作者:admin   来源:   评论:0
内容摘要:网曝支付宝新漏洞 专家称“恐慌”来自隐私保护不够_大香蕉新闻乐点彩票大发时时彩 “只要知道你支付宝里的好友,或者你最近在淘宝买了什么,就能随意更改你的支付宝登录密码。”昨日,一则名为《网曝支付宝新漏洞:熟人可100%登录篡改你支付宝密码》的报道,在各大论坛上引爆关注度。熟人,在这...

网曝支付宝新破绽 专家称“惊恐”来自隐私保护不敷_大香蕉新闻乐点彩票大发不时彩 “只要知道你支付宝里的石友,或者你比来在淘宝买了什么,就能随意更改你的支付宝登录密码。”昨日,一则名为《网曝支付宝新破绽:熟人可100%登录修改你支付宝密码》的报道,在各大论坛上引爆关注度。熟人,在这一瞬间似乎变成了带有“马赛克”的黑衣人,让所有支付宝应用者惴惴不安。不过,在此问题曝出之后,支付宝随即提高安然等级。然则一场安然性与便捷性平衡的话题,再度被推上了舆论的制高点。

网曝 登录密码被疑熟人可改

据此前媒体报道称,支付宝存在一个致命破绽,即他人可以经由过程支付宝的“找回密码”重置你的支付宝登录密码,并表示“陌生人有1/5的机会登录你的支付宝,而熟人甚至100%可以登录你的支付宝”。

实际上,在新设备上登录支付宝时,平日需要用户从新输入密码才能进入支付宝。不过,在输入密码时,密码框下有一个“找回密码”的按钮。点击按钮之后,支付宝供给多种找回密码的方法,除了发送手机验证码之外,还有识别比来购买的器械或识别石友、回答安然性问题等选项。而后两者则主如果在“无法收到手机短信”的前提下进行的。

也就是说,假如别人知道比来你的购买记录、知道你的石友是谁,或者你设置的问题别人全部知道,就有可能经由过程这样的设定来修改支付宝的登录密码。

回应 支付宝迅速提高安然等级

对此,支付宝负责人向北京晨报记者回应,这一方法仅在特定情况下才会实现,这一策略只能找回登录密码,仅经由过程回答安然问题并无法找回支付密码,不能完成支付。而所谓的特定前提,是支付宝会先对收集情况、账户信息完整程度等进行评估,安然系数高的情况下才会启动。且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。

不过,尽管对于自身安然体系信心满满,支付宝照样在昨日上午就提高了安然等级。今朝仅在用户自己的手机上,才能经由过程识别近期购买商品以及识别本人石友来找回登录密码,经由过程其他手机设备是无法应用这一方法找回登录密码的。

进展 暂无是以失窃案例

支付宝表示,今朝暂时还未收到是以而失窃的案例。那么支付宝安然事宜又是否存在足以“致命”的隐患?

一位支付安然领域资深人士向北京晨报记者表示,假如这些信息别人都知道,切实其实有被盗的可能性。但他对于报道中所说起盗用数据有所质疑,他认为这还需要进一步的论证才能评判。“从以往的盗刷案件来讲,实行欺骗的往往会隐匿身份,熟人欺骗的可能性相对较低。”

在他看来,这样的问题是否“致命”,也要看在登录后是否拥有动用资金的权限。也就是说,假如登录之后可以大规模挪用资金,那么其安然风险就相当巨大。

对此支付宝表示,支付宝有两套密码体系,找回登录密码并不料味着能够找回支付密码。而在新设备登录后,即就是小额免密环节,也需要从新输入支付密码才能够持续应用。

分析 隐私保护不敷致惊恐

既然并非是“致命”破绽,为何还会引起如斯巨大的社会关注?

支付安然领域资深人士表示,这可能源于本来“一对一”的认证信息被泛化了,所以激发了用户的不安。“比如密码或者手机验证信息,只有用户知道。但你购买了什么器械,或者你的石友有谁,很可能在不经意间将信息共享给了别人。”该资深人士解释道,知道谜底的人不独一,就出现了上述问题。

不过,在上海交通大学密码与计算机安然实验室主任谷大武看来,支付安然应该是“安然”与“隐私”并重,但往往在当下用户对于后者并不重视。“中国用户对于自己消费信息等隐私的保护不敷,也造成了当下的惊恐。”

谷大武认为,其实这也是安然性与便捷性平衡的问题。支付安然与便捷性是抵触的,一味追求安然,则可能导致在真实场景下弗成用;但便捷性则可能会让安然性受损。而支付宝此次涉及到的内容,很可能是源于便捷性的探索。

■链接

3年前数据还在黑市交易

收集账户的安然挑衅来自于多个方面。比如,平台本身设计存在破绽,黑客进击,甚至安然软件“监守自盗”等。

针对出现在地下黑色家当链中采用黑客进击用户账户、窃取用户账号资产和发卖用户信息等造孽行为,很多互联网公司都与警方建立了长效的合作机制。然而,数据被赓续地在黑市交易,让账户风险阴魂不散。

“不管什么原因,信息一旦泄露,就像撕开了一个口子。进入地下黑色家当链后,更可能被多次发卖。也就是说三四年前泄露的数据,可能现在还在卖。”一位电商人士向记者表示。

在大部分数据外泄后,黑客会先辈行洗库,登录账户将有价值的内容清洗一遍,比如登录游戏账户将虚拟币转走,或将QQ号倒卖。第二次“洗”是对于小我信息的收集,有些账户可能包括小我信息内容,这些会卖给那些需要的人;第三次“洗”是关联手机号的信息,卖给转发垃圾短信的,这样一层层“洗”下去直到没有价值为止,才会将数据出售。

在“黑市”,用户的数据被“明码标价”。据媒体报道,比如12G的数据包价格从“10万到70万”不等,每位用户的小我敏感信息平均只值1分钱。

提醒

碰到泄露的情况要急速修改账号密码;

支付账号、社交账号、常用邮箱、收集购物这些网站要零丁设置密码;

不要在不常用的、安然系数较低的网站设置与自己主要网站账号相同的密码;

接到陌生人或者客服电话不要轻信;

每隔三个月就要对密码进行一次修改,防止黑客撞库等。

■记者手记

纠结“证实我是我”

不如完善追回机制

网上对于支付宝安然性的质疑,说得高端一些是“认证核实”的问题,但说通俗一些,又是那个老生常谈的“若何证实我是我”的问题,只不过此次是在网上。

其实,这在互联网金融安然领域而言是个难题:在信息泄露严重的时代,在线下都很难证实的工作,搬到网上去证实,难度可想而知。但这又是个不得不做的工作,毕竟真实“忘记密码”的需求照样存在的。

诚如谷大武所言,支付安然与便捷性是生成抵触的。在当下,除了运用可托的第三方(如经由过程电信公司发送短信验证码)之外,似乎并没有太多技巧可用。当然,谷大武也表示,假如未来电子身份证得以普及,可能将是解决这个问题的钥匙,但这是后话。

其实与其纠结若何在收集上证实“我就是我”,不如转换一种思路。实际上,放眼海外,很多人应用信用卡并不设置密码。当然,银行卡现在以IC卡芯片为主,其弗成复制性自身就已经在事前形成一道安然壁垒。但假如发生盗刷,其事后完善的追回机制,也让持卡人加倍宁神地应用。

假如放在互联网支付时代,这无疑是个极好的事例。在一笔交易发生前,现在已经拥有了密码等安然办法作为保障。而交易过程中,互联网平台是否能够及时监控风险和异常,比如银联在免密时设置了“商铺白名单”,从而阻绝可能发生的盗刷情况;交易停止后,假如发生盗刷情况,是否有完整的追回机制和赔偿手段,比如说支付宝的盗刷险等,都能够促进消费者对于安然的认可。

所以笔者认为,在网上解决“证实我是我”的问题,不仅需要金融基本举措措施扶植的进一步加快,也需要支付企业真正形成可行优质的事前、事中、事后可追溯的机制,才能更好地解决安然与便捷性之间的问题。

本版撰文 北京晨报记者 姜樊 刘映花


标签:网曝支付宝新漏洞 专家称 
本网站内容收集于互联网,不承担任何由于内容的合法性及健康性所引起的争议和法律责任。
欢迎大家对网站内容侵犯版权等不合法和不健康行为进行监督和举报。对有版权争议的内容,请联系其网站或内容提供方协商处理. 港ICP备12010389号