正所谓千里之堤溃于蚁穴,再牛逼的安全体系,只要存在一个漏洞,也会被攻破。趁着315这个特殊的日子,小编为大家揭露一下大多数人都用到的支付宝有什么惊天大漏洞。这一回,哪怕会得罪支付宝,文章也要上。如果文章要修改,那小编只想增加一句,“本文所述漏洞已经完全修复好”。 看一个网上支付工具是否安全,就看在用户有安全意识的情况下是否能让用户放心。如果因为出现手机丢失或者手机SIM被人补办这种人算不如天算的事,就导致网上支付工具里的钱全部被盗,那根本就不能称之为安全可靠。把用户账号的安全大权交给第三方(移动运营商)来保管,这根本就是一个错误。然而,犯错的支付宝并没有失去什么,为错误买单的反而是无比信赖支付宝的用户,这就是“顾客就是上帝”的反证…… 在本文即将完成之际,小编突然发现支付宝已经简单地修复那个“一条短信就可以修改支付密码”的惊天大漏洞,这值得表扬,但也让小编好受伤,为什么不等小编把文章发出去再修复漏洞呢,那小编只好重新修改文章再发布。如果想骂小编的,请看完全文再骂,谢谢。 好文不罗嗦,啰嗦没好文。在继续阅读之前,希望大家能帮忙做个调查问卷。 小编为什么非要跟支付宝过不去? 很多人可能在问小编天天“黑”支付宝图的是啥?小编只想说,图的是支付宝把坑爹的惊天漏洞完美地修复好,让本来体验非常不错的网上支付工具变得绝对安全可靠,而不是像之前那样让人在深入了解“漏洞”之后对之完全没有信心。 其实小编使用支付宝的时间还不到两年,但已经将支付宝的功能研究得七七八八,通过支付宝帮朋友购物倒腾钱达40多万。因此说,小编最爱用的网上支付工具就是支付宝,因为支付宝给了我们免费转账的机会。 在2012年7月中旬,小编就以一篇《支付宝安全吗?4条短信5分钟盗空支付宝》来详尽介绍支付宝的漏洞。当时是希望支付宝能在文章发布后马上修复这个漏洞,让用户不怕在丢了手机之后就提心吊胆怕支付宝被盗,毕竟有多少人没有丢手机的经历。 虽然支付宝没有修复这个坑爹的漏洞,但却在9月左右推出了一个敢用敢赔的支付宝服务,这也让小编算是暂时放下心来。 在使用支付宝的过程中,小编还把自己使用支付宝转账的心得撰写成文分享出去,此时,我还认为支付宝是比较安全的(在手机不丢失的情况下)。 然而,当小编以为自己发现的漏洞只是一个假设的时候,多个专业的小偷竟然把小编的假设变成真实,从而发生多起因为手机丢失而被盗的支付宝案件(详见第四页)。 在众多支付宝被盗案件中,有一位网店卖家通过各种途径找到小编向我哭诉他支付宝的1.9多元是怎么被盗的(被盗原因,移动SIM卡被人异地补办),并且支付宝官方拒绝无过失的支付宝被盗受害人的索赔(拒赔原因,不符合索赔细则中某一条)。这一刻,小编平时再冷血也被刺激了,敢用敢赔说得这么好听,为什么此刻却拒赔并且不告诉用户拒赔的原因,这是什么服务,店大欺客? 跟支付宝公关人员电话理论半小时无结果之后,小编已经决定,不让支付宝认识自己的“漏洞”是一个多么恐怖的存在并且不修复好的话,誓不罢休。 于是乎,等春节过后,小编就开始收集支付宝被盗的新闻并加以分析被盗原因,目的之一就是让网友知道支付宝被盗是什么原因导致的,目的之二是希望支付宝官方能关注到这个坑爹的漏洞并想办法修复(目的算是已经基本达到,但离最终目的还有很远)。 终于,在小编撰写此文的时候,支付宝终于简简单单地算是修复了那个为小偷提供无限便利的BUG(如上图,修改支付密码的时候加多了需要输入证件号码一步)。 支付宝还存在什么漏洞? 曾经让小偷受益无限的“4条短信5分钟盗空支付宝”的漏洞已经算是不存在了,但并不能说没有漏洞了。目前还有的漏洞就是支付宝开通快捷支付无需输入银行卡的取款密码。这漏洞意味着假如让小偷收集了用户身份证号、银行卡号和跟银行卡绑定的手机号,那么小偷不但能将你支付宝的钱盗空,就连银行卡的钱也能通过快捷支付全部盗空。 小编建议支付宝这样修复漏洞 早在上年,小编就曾经多次对支付宝提出了如何修复漏洞的建议,结果吃上了闭门羹…… 要让支付宝变得绝对安全可靠,小编是这样建议的。一,修改登录密码和支付密码必须是两种不同方式(例如短信和邮箱两种模式);二,手机用户要找回密码,必须要求他输入身份证或者银行卡号;三,修改最后的支付密码,如果无法输入之前的支付密码,必须用手机短信加邮件同时确认;四,开通快捷支付必须输入银行卡取款密码,取款密码一旦修改必须要再次开通快捷支付才能使用快捷支付功能。 对于用户来说,或许修改密码的方式变得麻烦一点,但这样绝对安全,给人一种就算丢了手机、银行卡、身份证三件套也无法让小偷破译支付宝密码的感觉。因为要破译支付宝和快捷支付,还得自己的邮件确认和输入银行卡的取款密码。
|