为了验证网上流传的“快捷支付存在安全问题”是否真实,记者做了一个实验,模拟在“捡到”一部手机之后,如何破解密码并刷取卡内资金。首先,记者拿起同事的一部手机,当然前提是这部手机已经绑定了支付宝快捷支付,并且假设记者并不知道该同事的其他信息。下面是记者的实验过程:
支付宝重大安全漏洞是什么
第一步:记者打开支付宝的登入界面,在账户名一栏记者看到输入手机号码或邮箱地址的提示,而这两个信息拿到手机的人都会知道,记者点击旁边的忘记登录密码,并尝试这个手机的号码或手机里面的QQ邮箱是否已注册支付宝账号,记者尝试后知道,这个手机的号码就是支付宝的账号。
第二步:接下来是输入手机验证码,当你点击发送手机验证码时,会有一组六位数字的验证码发到这个手机上,这时只要你输入这组数字,就可以进入更改密码的界面,记者由此完成对密码的修改。
第三步:知道支付宝账号和密码后,记者登入这个账号的支付宝界面,在账户管理的界面里,记者可以看到这个账号上面的余额,还能看到这个账号绑定了中国银行卡。记者同样运用找回密码这一功能,用这个手机接到的验证码将绑定的银行卡快捷支付密码更换。
第四步:记者接下来通过快捷支付转账,输入新的支付密码后,成功转出中国银行规定的最高额度两万元。记者看了一下时间,从开始操作修改密码到完成转账,记者只用了5分钟时间。
支付宝重大安全漏洞是什么
随后,记者又让同事修改银行卡密码。但是记者发现银行卡密码被修改后,支付宝账户绑定的银行卡付款操作并未受到任何影响。这意味着,开通快捷支付后,万一手机被盗,绑定的银行卡很容易遭到盗刷,即使用户修改了银行卡的密码也无法阻止盗刷。
完成这些后,记者也觉得不可思议,资金的安全钥匙如此轻易地被一一破解,到底问题出在哪里?
在实验过程中,记者也发现,这次实验的成功也存在偶然性,第一是手机的主人就用手机号码作为支付宝的账号,让后面的密码寻找成了可能。第二就是手机的主人并没有添加支付宝的付费保障手段。所以记者才能用一个手机就能破解手机主人的支付宝账号密码和绑定的银行卡账号支付密码。
支付宝重大安全漏洞是什么
记者就这一现象请教了中国银行湖南省分行电子银行部门的一位专家,他告诉记者,目前金融已经进入网络时代,各种网络支付手段都会使用到移动验证或邮箱验证,上面出现这样的情况就是因为手机这个验证平台出现了问题,并且手机主人使用手机号码作为了支付宝账号,所以才造成了资金账号的安全问题。