支付寶出現(xiàn)重大安全漏洞的事件始末與思考
來源:三節(jié)課(微信號(hào):sanjieke)
作者:付曉萌
今日(2017年1月10日)凌晨,有知乎網(wǎng)友爆料,支付寶存在一個(gè)致命漏洞,陌生人有1/5的機(jī)會(huì)登錄你的支付寶,而熟人甚至100%可以登錄你的支付寶。
我們第一時(shí)間對(duì)于該漏洞進(jìn)行了體驗(yàn)和確認(rèn)。經(jīng)個(gè)人親測(cè),只需四步,我就成功地修改了我某位好友的支付寶密碼(當(dāng)然,在測(cè)試之前,我已經(jīng)告知了對(duì)方,所以,對(duì)方是知情的)。真的,親測(cè)有效。
下面我們可以詳細(xì)還原一下這個(gè)“成功修改你好友支付寶密碼”的過程。
一、修改好友密碼的全過程
第一步:忘記密碼
只要你添加過一個(gè)支付寶好友,你就會(huì)知道他的帳號(hào),這個(gè)時(shí)候,填入這個(gè)帳號(hào),選擇“忘記密碼”,你就可以進(jìn)行到下一步了。
第二步:無法接收短信
當(dāng)你選擇了“忘記密碼”并選擇“下一步”之后,賬號(hào)擁有者的手機(jī)會(huì)收到關(guān)于“校驗(yàn)碼”的信息。但是,這個(gè)時(shí)候,操作者是可以選擇“無法接受短信”的。雖然無論如何系統(tǒng)都會(huì)觸發(fā)一條短信,但如果帳號(hào)擁有者沒有及時(shí)看到短信,他是不會(huì)警覺,也完全不會(huì)知道自己的密碼馬上就會(huì)被修改的。
第三步:找回密碼
在操作端選擇“無法接收短信”之后,系統(tǒng)會(huì)讓你做一些“選擇題”,選一個(gè)您“購買過的商品”和選一個(gè)您可能“認(rèn)識(shí)的人”,這個(gè)時(shí)候,如果是你和帳號(hào)擁有者是熟人,TA平時(shí)的購買喜好和好友,你多試幾次,應(yīng)該還是很好選的。
而就算你對(duì)帳號(hào)擁有者不那么熟悉,理論上你也有一定概率可以順利通過這個(gè)驗(yàn)證。
當(dāng)然,如果你真的被卡在這個(gè)環(huán)節(jié),也仍然還有出路。你可以點(diǎn)擊上圖“換個(gè)方式找回密碼”。
這個(gè)時(shí)候,系統(tǒng)會(huì)給出一些選項(xiàng),例如刷臉認(rèn)證呀,回答問題呀等等。
但是,這里有個(gè)很可笑的事情:雖然刷臉驗(yàn)證頁面上提示“要本人親自刷”,但如果這個(gè)是根據(jù)本人和身份證照片的相似度來判斷的.......就實(shí)在是太可怕了......
第四步:重置登錄密碼
這個(gè)時(shí)候,順利通過驗(yàn)證的你,已經(jīng)可以重置對(duì)方的支付寶登錄密碼了。帳號(hào)擁有者這個(gè)時(shí)候會(huì)收到支付寶的消息提醒,但為時(shí)已晚......只能默默抱著手機(jī)哭了......
作為一款向來主打“安全、可靠”,以及保存了大量用戶交易信息的應(yīng)用,這樣的漏洞,絕對(duì)可以算得上是“重大事故”級(jí)別的了。
至于“被盜號(hào)”可能具體意味著什么,支付寶有沒有后續(xù)的防范措施來保證用戶的安全等,大體是這樣的——
支付寶中有一個(gè)“支付密碼”,這個(gè)密碼和登錄密碼是獨(dú)立的,所以盜完號(hào)后如果不知道支付密碼,理論上無法完成大額消費(fèi),但即便如此,你仍然可能會(huì)蒙受如下?lián)p失——
很多人的支付寶都設(shè)置了小額免密支付,所以,盜號(hào)者完全可以使用小額免密支付(雖然小額只限200元,但經(jīng)不住多刷幾個(gè)訂單呀)使你損失一筆財(cái)產(chǎn);
盜號(hào)者可能會(huì)向支付寶里的好友借錢,借到錢了你卻不知道,還遲遲不還,會(huì)使你損失一票好友;
你的各種收貨地址、關(guān)系人、電話都會(huì)被泄露;
你的花唄、余額寶、銀行卡、付款碼等信息也都可能會(huì)被泄露;
……
總之,只要不涉及到支付密碼的(友情提示:支付密碼不等于登錄密碼),全都可以操作。
作為帳號(hào)擁有者,如果你不幸發(fā)現(xiàn)自己被盜號(hào)了,你可以選擇快速掛失,也可以按照上述的“修改好友密碼的全過程”,將自己的密碼搶回來。
“快速掛失”的步驟如下:
進(jìn)入支付寶客戶端,點(diǎn)擊【我的】→【設(shè)置】→【賬戶與安全】→【安全中心】→【急救包】→【快速掛失】→【立即掛失】。(友情提示:在此之前,請(qǐng)記得先將余額寶余額中的錢都轉(zhuǎn)到銀行卡里,然后解綁銀行卡)
還有一件事是需要說明的——如果你的支付寶和淘寶密碼是綁定在一起的,那么,你的支付寶密碼被修改了,意味著你的淘寶密碼也有很大幾率被修改.....你不僅登不了你的支付寶,你還登不了你的淘寶......
二、支付寶的回應(yīng)
對(duì)于如此重大的事故,自然引來關(guān)注無數(shù),截止今日中午,幾乎所有的互聯(lián)網(wǎng)行業(yè)媒體和眾多知名大V都第一時(shí)間跟進(jìn)報(bào)道了此事,甚至在下午2點(diǎn)多的時(shí)候還驚動(dòng)了人民網(wǎng)。
今天11:15分的時(shí)候,一位阿里員工就曾在知乎回答了“如何看待支付寶重大安全漏洞”的問題,稱10幾天前就在內(nèi)網(wǎng)反饋過密碼安全的問題,但據(jù)說是支付寶團(tuán)隊(duì)內(nèi)部為了平衡體驗(yàn)和安全性的問題,就先把問題擱置了。
假設(shè)這一回答信息皆為真實(shí),那么這一回答背后,也許頗具深意。
可以據(jù)此猜測(cè):支付寶內(nèi)部,一定長期背負(fù)著兩個(gè)大的KPI,一個(gè)有關(guān)于“社交”,例如用戶數(shù)關(guān)系對(duì)在線時(shí)間等,另一個(gè)則有關(guān)于“支付”,例如沉淀金額交易數(shù)量投訴數(shù)量故障概率等等。
毋庸置疑,這兩個(gè)KPI的導(dǎo)向一定是截然不同,甚至有時(shí)會(huì)出現(xiàn)沖突的。對(duì)社交來說,互動(dòng)才是關(guān)鍵,“安全”和“保障”并不那么重要。而對(duì)于支付來說,“安全”則是底線。
至少,從如上知乎回答中,我們能隱隱看到的一種心態(tài),是支付寶內(nèi)部可以認(rèn)為一些跟支付相關(guān)的漏洞“問題沒那么糟”,可以開始忽略掉一部分“支付”相關(guān)的保證和安全性。
我們尚無法得知這是官方的態(tài)度,還是支付寶某些團(tuán)隊(duì)內(nèi)部的個(gè)人立場,但無論如何,這樣的立場也許是令人擔(dān)憂的——對(duì)于一款大量沉淀著用戶資金的產(chǎn)品來說,居然可以容忍一個(gè)明明自己已經(jīng)知道的安全漏洞存在,這讓用戶該做何感想?
不出意料的話,此事一出,有很大可能有人要背鍋?zhàn)呷恕:诵木驮谟冢?strong>它所影射和傳遞給用戶的信息,實(shí)在太令人擔(dān)憂。看看朋友圈那些聲稱“已經(jīng)清空了支付寶帳號(hào)并卸載了支付寶”的消息你就知道事態(tài)的嚴(yán)重性了。
臨近中午,支付寶官方也給出了正式回應(yīng),全文如下——
在官方聲明中,支付寶稱更改密碼是在特定情況下才會(huì)實(shí)現(xiàn)。通常情況下,用戶找回密碼是需要輸入手機(jī)短信驗(yàn)證碼的,但這部分的解釋實(shí)在是太蒼白無力,大家可以回顧一下上面我修改密碼的全過程,我是直接可以選擇“無法收到短信”而忽略這個(gè)環(huán)節(jié)的。
且,即使帳號(hào)擁有者收到短信了,就意味著他看到了么?
此外,在官方聲明中也提到支付寶已在第一時(shí)間增加了常用設(shè)備檢查。在忘記密碼的情況下,在賬號(hào)擁有者自己的設(shè)備上,只需要填寫身份證號(hào),即可成功登錄。在其他登陸設(shè)備上,需要知道帳號(hào)擁有者的身份證號(hào)和銀行卡信息,或是回答一些安全保護(hù)問題,或者是拿到了帳號(hào)擁有者的電話,也可以登錄進(jìn)去,并不涉及修改密碼的部分。
這倒不失為一個(gè)成本最低且足夠及時(shí),能夠一定程度上解決問題的回應(yīng)。但被支付寶這么一折騰,還是感覺很不安全啊。
也不得不感嘆一下,這一年,大家都說百度公關(guān)難,但其實(shí)支付寶公關(guān)也著實(shí)不容易啊!無論如何,我們先向他們致以誠摯的慰問吧。
三、從產(chǎn)品層面看支付寶的密碼邏輯和問題
從產(chǎn)品的角度來看,支付寶的找回密碼邏輯,其實(shí)是屬于通過“交叉驗(yàn)證”來判斷用戶身份的過程,這種交叉驗(yàn)證的模式,已經(jīng)被很多產(chǎn)品采用了,最典型的是微信和淘寶。交叉驗(yàn)證的功能是好功能,但場景不同,適用性也是有很大不一樣的。
交叉驗(yàn)證,有幾個(gè)關(guān)鍵點(diǎn),是這個(gè)功能能否成功的關(guān)鍵點(diǎn)。
1. 是否有可識(shí)別的點(diǎn);
2. 可識(shí)別的東西,是否具有私密性;
3. 可識(shí)別的東西,對(duì)用戶來說,是否有辨識(shí)度。
早期采用的大產(chǎn)品是微信,微信會(huì)在用戶更換設(shè)備登錄時(shí),彈出一個(gè)“安全驗(yàn)證”的界面,你需要選擇兩個(gè)好友的頭像后,才能登錄成功。微信只是判斷你是不是“人”“機(jī)”一體,如果是一體,則登錄成功,但只能登錄成功而已,不涉及到“修改密碼”這一行為,所以是屬于原有安全性提升,并無不妥,是加分項(xiàng)。
同樣的道理,淘寶在PC端登錄的時(shí)候,也會(huì)出現(xiàn)這樣的驗(yàn)證方式,輔助登錄,也無不妥,而且淘寶只是登錄,進(jìn)入后除了查看商品、退款等操作外,并沒有太多涉及現(xiàn)金的操作,因?yàn)樯婕艾F(xiàn)金的操作,是需要支付密碼的。
而對(duì)于支付寶來說,采用了和淘寶類似的交叉驗(yàn)證方式,其實(shí)并沒有問題,但問題在于,里面涉及到金錢的功能——“免密支付”,我進(jìn)入到帳號(hào),你之前只要開通了免密支付,我就可以把錢刷出來了,可以去消費(fèi)了。
大家吐槽完支付寶,我們可以看看另外一個(gè)更奇葩的、不分場景照抄功能的經(jīng)典例子——微博的交叉驗(yàn)證方式。
和微信類似的同樣觸發(fā)邏輯,同樣的功能,微博讓你通過選出你關(guān)注的好友的頭像來完成交叉驗(yàn)證,但微博的好友關(guān)注是公開的,就算是個(gè)陌生人,找到了你的微博,照樣也還是知道你的好友的啊,這不是搞笑么?所以大家在吐槽支付寶的時(shí)候,為什么沒有那么大規(guī)模吐槽微博呢?又回到了本質(zhì)原因,支付寶跟錢有關(guān),這樣的做法挑戰(zhàn)了用戶潛意識(shí)中“做金融的必須安全”的認(rèn)知。
最后,微信、淘寶甚至微博,都只是通過交叉驗(yàn)證來輔助用戶“進(jìn)入”,而支付寶這次是可以直接修改密碼的,這會(huì)造成帳號(hào)擁有者被踢下來的現(xiàn)象,問題是最大的。
所以,即便從“產(chǎn)品”層面來看,這樣的密碼邏輯和策略,也存在一定問題。至少從“典型用戶場景”來看,我們認(rèn)為是存在一些問題的。
四、總結(jié)
支付寶作為一個(gè)支付軟件,和金錢這種超級(jí)隱私的東西掛鉤,卻老是搞一些危險(xiǎn)的幺蛾子。之前六一時(shí)候的“改寶寶后綴”事件,就曾引發(fā)全民吐槽,雖然屬于支付寶想給用戶驚喜,但這次屬于產(chǎn)品密碼邏輯的問題,就有點(diǎn)不可原諒了。
從古至今,財(cái)產(chǎn)都是一個(gè)人最私密的事情,任何事一旦涉及到錢財(cái),就會(huì)變得敏感。像我們之前說過的,本是背道而馳的兩條路,硬要拽到一起,肯定是會(huì)有痛感的。支付寶想要占據(jù)社交平臺(tái)這個(gè)入口,拼了老命要搞社交,這個(gè)可以理解,但,支付才是支付寶一直走下去的保障,而支付安全,則是支付寶最后的底線。一切的幺蛾子,都必須是建立在用戶安全的基礎(chǔ)上的。
網(wǎng)友也評(píng)價(jià):之前一直不太使用微信支付,是總在心里覺得社交軟件做支付不安全,萬萬沒想到支付軟件做社交才是大殺器啊......
以及,在今天,我們也在微博和朋友圈看到了有人因?yàn)橹Ц秾毥裉斓穆┒撮_始大量刪除好友的情況存在。
這里倒是不由得替支付寶感嘆一聲:市場和運(yùn)營們吭哧吭哧干了一兩年走社交路線,集五福的活動(dòng)推了那么多,AR紅包和年度賬單搞得紅紅火火,好不容易把好友加上去了,現(xiàn)在大家又要開始刪好友了,頗有點(diǎn)一夜就要回到解放前的感覺,支付寶的朋友們,你們還好嗎?
(完)
微信公眾號(hào):三節(jié)課(微信號(hào):sanjieke)
轉(zhuǎn)載請(qǐng)?jiān)谖恼麻_頭和結(jié)尾顯眼處標(biāo)注:作者、出處和鏈接。不按規(guī)范轉(zhuǎn)載侵權(quán)必究。
未經(jīng)授權(quán)嚴(yán)禁轉(zhuǎn)載,授權(quán)事宜請(qǐng)聯(lián)系作者本人,侵權(quán)必究。
本文禁止轉(zhuǎn)載,侵權(quán)必究。
授權(quán)事宜請(qǐng)至數(shù)英微信公眾號(hào)(ID: digitaling) 后臺(tái)授權(quán),侵權(quán)必究。
評(píng)論
評(píng)論
推薦評(píng)論
暫無評(píng)論哦,快來評(píng)論一下吧!
全部評(píng)論(0條)