支付宝存致命漏洞 手机丢失可能导致钱款被盗_新浪上海
支付宝存致命漏洞 手机丢失可能导致钱款被盗
东广新闻台fm90.9评论
　　东广聚焦，换个话题。 “捡到他人手机后，任何人都可以仅通过取回密码的方式破解支付宝的登陆和支付密码，从而盗走资金”。这是前段时间，网上质疑支付宝安全问题被热传的帖子内容。阿里巴巴小微金融服务集团首席风险官胡晓明曾通过支付宝官方微博回应称，这种说法纯属谣言。那么，绑定支付宝的手机丢失后，到底会不会影响账户安全？东广记者汤丽薇邀请技术专家测试证实，致命漏洞确实存在！来听她的报道。
　　【记者和技术人员张忠辉共同进行了一系列测试。首先将一个没有设置锁屏密码的手机交给张忠辉，他尝试进入这个手机的支付宝账号，但是几番测试下来发现单凭一个手机就想进入支付宝几乎是行不通。但是如果你的手机和装有身份证和银行卡的钱包同时丢失或者被盗后，那么要想转走支付宝里的钱，全过程不需要5分钟：
　　(点击进入一个找回登陆密码的界面，(短信音)然后发送给我一个短信校验码，然后通过输入短信校验码以后，我们就可以进到一个更改登陆密码的界面，现在需要我们输入一个信息就是身份证号码，因为我们前面已经获取了这样一张身份证，所以我们可以用身份证的号码来重新更改登陆密码。)
　　支付宝有登陆密码和支付密码两道防线，而且两个密码在设置之初都要求不能一样，因此登陆支付宝后，还要攻破的就是支付密码：
　　(找回支付密码，这时候系统提示我们要输入两个信息，该卡绑定的身份证和银行卡，就可以更改支付密码的界面。然后再通过支付宝的提现转账功能，转移到任何一张银行卡内，比如把10块钱转到自己的银行卡中，现在系统显示，已经转账成功。)
　　大约12分钟后，张忠辉的手机接到一条短信提示，有10块钱已经转入名下。再来看看腾讯的理财通，经过一番测试，理财通优于支付宝的是，里面的钱只能转到手机持有人原来所绑定的银行卡中，别人无法转走。不过由于微信支付里还有手机充值和微信红包以及商城业务，因此在与支付宝几乎同样的操作下，完全可以通过手中的银行卡和身份证号码更改微信支付密码，从而盗用里面的金额。
　　不过，支付宝和微信的客服告诉我们，如果真的发生盗刷它们都提供全额理赔：
　　(支付宝：如果万一你的资金确实有损失，余额宝的资金目前都是全额承保的，没有上限。
　　微信：我们也是有保险的，我们会进行核实，然后全额赔付的)
　　现在我们的担心或许可以减少一些，首先手机和钱包一起丢的概率本身就不高，再者反正有理赔。不过，为了防止麻烦，最好还是做好安全防范。记者咨询了众多安全专家，得到的一致建议就是必须给你的手机装上大门锁，那就是锁屏密码：
　　(拿了之后锁屏密码解不开，只能刷机，刷机之后里面的资料也就丢失了，您的资料肯定是安全的。)
　　当然锁屏密码千万别设成是4个1或者几个0，否则不刷机也很容易破解。
　　其实，对于移动互联网时代的安全问题，金山毒霸安全专家李铁军认为不要因为今天出一个什么刷宝产业链，或者明天出一个手机中毒理财通金额被盗刷等新闻就杯弓蛇影，在PC端，在现实生活中银行卡直接被盗刷的事也很多见：
　　(只要用户及时的发现或者冻结自己的账号就可以。但是安卓手机病毒去拦截手机短信这种案例是最多的，它应该是2013年对网民影响最大的病毒，防范手段很关键就是用户的意识，你在聊天购物，对方给你发链接发二维码，让你安装下载软件，这个都非常危险，只要你避免不安装就不会受骗。)】&&& 转载免责声明：凡本站注明 “来自：XXX（非赢商网）”的新闻稿件和图片作品，系本站转载自其它媒体，转载目的在于信息传递，并不代表本站赞同其观点和对其真实性负责。如有新闻稿件和图片作品的内容、版权以及其它问题的，请联系本站新闻中心，电话：021-，邮箱：。
来自：新浪科技（查看更多“支付宝”新闻）
关键词：支付宝 蚂蚁金服 支付宝上保险 账户安全险
此新闻暂无评论哦！赶紧抢坐沙发吧！
& [所发表点评仅代表网友个人观点，不代表赢商网观点]
综合体省市：青岛黄岛区面积：80000O综合体省市：昆明呈贡区面积：13.5万O商业街区省市：安康汉滨区面积：4万O购物中心省市：西安新城区面积：13万O购物中心省市：延安宝塔区面积：5.4万O
火锅烧烤品牌定位：中高档拓展区域：全国大型超市品牌定位：大众化拓展区域：华南区域快时尚品牌定位：中高档拓展区域：全国饮品甜点品牌定位：高档拓展区域：全国,西北区域饮品甜点品牌定位：大众化拓展区域：全国
在这个看脸的时代，不只对人的颜值要求高，就连餐厅也愈发注意到颜值的重要性。好吃之外，一个餐厅的空间设计成为食客们评价体系中重要的一环。
×扫描分享到微信手机丢了，支付宝的钱也丢不了_网易财经
手机丢了，支付宝的钱也丢不了
用微信扫码二维码
分享至好友和朋友圈
近日，央视财经在其官方微博上做了一组关于“被盗，能否被攻陷”的。“破译的可能性几乎为零！”央视官方微博最终得出这样的结论。视频显示，央视记者亲自试验，模仿在手机被盗的情况下试图找回支付宝的过程。最后发现，这一破解过程极其繁琐并最终失败。看央视的“盗宝”实验是如何一步步走向失败实测视频显示：作为“盗窃者”首先要破解手机的开机密码，这本身就几乎成为了不可能或者碰运气的事；接下来，假设手机没有开机密码或密码被破，在找回支付宝登录密码的环节中，需要手机验证码和身份证号两项信息双重验证。这就是说，没有身份证号，小偷连支付宝都登录不了。最后，再假设真的不走运被知道了身份证号，想转出支付宝里的钱还需要输入支付密码。从视频里可以看出，找回支付密码更加复杂，除了手机验证码和身份证，还需要验证安全问题或者银行卡卡号。这意味着，小偷需要同时知道这些验证信息，否则破译支付宝的可能性几乎为0。据悉原来早在2013年9月和2014年1月，支付宝方面就对网上谣传的手机丢了支付宝会被盗的内容做过实测回应，对用户的担心和疑惑做出说明。近期，央视《是真的吗》这个栏目也关注到这个问题。如何保护好自己的支付宝安全？该负责人报提醒用户：
1.设置单独的、高安全级别的密码，如果邮箱、SNS网站（如微博、、开心网等）等登录名和支付宝账户名一致，务必要保证密码不同。2.设置不同的登录密码和支付密码。3.使用数字证书、宝令、支付盾、手机动态口令等安全产品。支付宝方面表示，支付宝是目前全球安全的网上支付和移动支付方式,除了以上用户自我保护措施外，支付宝已联合平安保险全额承保，如果用户的账户发生被盗，支付宝100%赔付，且赔付金额无上限，最快24小时内赔付到位。这一承保范围涵盖支付宝快捷支付、余额、资金。
本文来源：现代快报
责任编辑：王晓易_NE0011
用微信扫码二维码
分享至好友和朋友圈
加载更多新闻
热门产品:　　　
:　　　　　　　　
:　　　　　　　　　
热门影院：
阅读下一篇
用微信扫描二维码
分享至好友和朋友圈手机丢失后
如何防止手机支付宝钱被盗刷
【导语】：当手机丢失的时候，自己在手机上绑定的银行卡、支付宝、微信等账号会出现怎样的危险状况呢?一旦你的手机丢失或者被盗，你的钱银，很容易就会被人盗刷。　　近段时间一直在“烧钱”的打车软件之争，说白了就是阿里巴巴支付宝和腾讯微信支付对移动支付用户的“跑马圈地”运动，贴身肉搏的结果是“移动支付”这一概念短时间内普及了大江南北。手机支付的便捷，基本满足了一众网购狂热分子随时随地上网购物的欲望，不过也面临着巨大的安全隐患。一旦你的手机丢失或者被盗，你的钱银，很容易就会被人盗刷。　　[记者体验]　　多个关卡都需身份证号或银行卡号　　当手机丢失的时候，自己在手机上绑定的银行卡、支付宝、微信等账号会出现怎样的危险状况呢?为了做这个实验，南都记者与同事交换手机，模拟手机丢失情况，来体验手机丢失时财产被盗的几率有多大，发现盗刷有一定难度，成功与否关键看你的证件资料有无看管好。　　记者拿到的这个手机，并没有设置开机密码，记者可以轻松地点开手机支付宝钱包，此时遇到的第一道安全屏障就是图形锁定界面，也就是我们说的手势密码。在这一个关卡，记者选择了“忘记密码”和“忘记登录密码”，转入了重设登录密码功能进入支付宝账户界面。这一步，系统要求输入支付宝账户名和手机短信验证码。相信很多同学都和记者一样，手机号就是账户号，而且短信验证码也是发到同一手机上的。在这一关，系统还会进一步要求输入支付宝账户主人的身份证号。如果不知道机主的身份证号，到这一关就无法支付下去了。但是，有些人怕自己忘记身份证号，会把自己的号码存在手机备忘录里，如果捡到手机的人翻到这一条备忘录，也就破解了这一关卡。而且，如果很不巧，手机丢失的同时，身份证也一同丢失了，那盗窃者就能轻松进入下一步了。　　记者继续体验，在索要了同事身份证号之后，成功修改了登录密码，登录了这台手机上的支付宝。在手机上购物之后准备支付，虽然不知道支付密码，但同样可以通过密码找回功能破解。支付密码找回有两种方式：一种是通过短信校验码，加上安保问题;另一种就是短信校验码，加上你绑定的快捷支付的银行卡的信息。按照第一种方式，盗窃者要破解的安保问题就是手机用户自己个性化设定的问题，比如爸爸、妈妈的名字;而第二种方式，盗窃者需要填写的问题是快捷支付的银行卡卡号，还有持卡人证件号码。　　按照这个操作流程，虽然说通过“短信+安保问题”，修改支付密码可能性不太大。不过，这里有个潜在风险，就是身份证、银行卡和手机一起，落在盗窃者的手里，危险性就大大增加了。　　而记者体验微信支付，发现也存在着类似的问题，假设忘记密码，通过验证所绑定的银行卡号、姓名、手机号，即可重新绑定银行卡，任意设置支付密码。
相关推荐 &2014端午节是几月几号，2014年端午节放假几天？国务院发布2014端午节放假安排如下：6月2日放假，与周末连休2014五一放假多少天？ 2014五一节假日如何安排？根据国务院发布的2014年放假安排时间表，2014年五一放假3天。2014五一放假多少天？ 2014五一节假日如何安排？根据国务院发布的2014年放假安排时间表，2014年五一放假3天。2014国庆节放假几天，2014十一节假日怎么安排的？根据国务院发布的2014年放假安排时间表：2014国庆节放假7天。2014中秋节是几月几号？2014中秋节放假几天，2014中秋节假期如何安排的，根据国务院发布的2014年放假安排时间表，2014中秋节放假1天。还记得每年一次的虎门富民夏季优惠购物节吗？用平时批发的价格就能买到零售的商品，虎门富民夏季优惠购物节扩大至5个专业市场，“批零统一价”今天下午国务院办公厅公布了:2014年放假安排时间表,2014年元旦、春节、清明节、劳动节、端午节、中秋节和国庆节放假调休日期的具体安排通知如下:2014年春节加班工资怎么算？春节假期即将来临，加班工资的计发成为上班族讨论的话题。但具体的计算标准和相关的法律法规还是不很清楚。春节7天假其实由两部分组成，即法定节假日和休息日。用人单位在法定节上一篇文章：下一篇文章：猜你喜欢
港珠澳大桥主桥面全线贯通 往来三地仅需30分钟（图）
16:22 来源：本地宝综合
南京重启限购首日现离婚潮：头发花白老夫妻排队离婚
16:06 来源：
杭州现女仆咖啡馆 美女大学生亲自喂饭（图）
16:04 来源：中新网
一个北漂老板的房价烦恼：涨，员工走；跌，财富走
16:01 来源：腾讯
国足队员谈每天100元津贴：足够了，吃住都不花钱
15:57 来源：凤凰体育
山西：亲人外出打工 5岁娃洒泪挽留场面令人心酸（组图）
15:48 来源：中国网图片中心
第17号强台风“鲇鱼”最新路径图：明日将登陆福建（图）
15:43 来源：本地宝综合
台风“鲇鱼”最新消息：已在台湾花莲沿海登陆（图）
15:29 来源：本地宝综合
东莞消费群体年轻化 “85后”占比超过20%
11:45 来源：金羊网
广东530多万退休人员养老金上涨 9月底前发放到位
11:40 来源：新快报
本地宝郑重声明：本文仅代表作者个人观点，与本地宝无关。其原创性及文中陈述内容未经本站证实，本地宝对本文及其中全部或者部分内容的真实性、完整性、及时性不作任何保证和承诺，请网友自行核实相关内容。
大家都爱看
汇深网 版权所有内容字号：
段落设置：
字体设置：
精准搜索请尝试：
是否真如此？手机丢了，支付宝账号完蛋了？
来源：作者：子非责编：子非
天涯论坛上今日爆出了支付宝的一个安全的帖子（支付宝设计业务流程的同学准备下岗吧！ )大意是：手机丢了的话，支付宝账号和密码都有了。
测试场景：捡到一个手机，只要你的手机绑定了支付宝，没有银行卡身份证其他的任何东西，就通过这个手机顺利提现支付宝余额。至于支付宝的数字证书、支付密码依然是通过手机找回密码，短信验证即可。陆密码，数字证书，支付密码都被攻克了，已经把余额宝钱转出来了。
另外一个问题@iceyes汪利辉也提到：验证环境不是普遍环境，测试者是在自己机器上做的测试，经常登录的机器，支付宝识别为当前帐号可信机器，取回支付密码只需要短信验证。如果不是可信机器，网页版是需要另外提供身份证号码和银行卡号的。是不是这样，建议大家拿别人的机器试试，不带这样黑的。（via 卢松松）
其实，人民网在9月份就曾撰文《记者亲身测试：手机丢失无法盗取支付宝》就上述事宜进行解释，结论是手机丢失无法盗取支付宝。
现场测试：很难破解支付宝账户
强调一遍：测试建立在手机SIM卡丢失并且没有被挂失可正常使用（简单地说就是丢了手机）的前提下。
昨天，我们假设变身专业小偷成功“偷”到同事小王的私人手机(不知道手机号，捆绑支付宝账号)，拿到手机后，很轻松地便试出这部手机的号码。
那么，丢手机的小王是否遭殃了？
拿到手机(捆绑支付宝账户&未知电话号码)——拨打得出手机号码——如下操作：
我们点开了支付宝登录界面，界面显示，要输入账号和密码。我们只知道手机号码，不知道登录密码，当然不可能登录该账户。
点击“忘记了登录密码”。然后出来一个“找回登录密码”的界面，给出了三种可以找回密码的方式：第一个方式是支付宝官方“推荐”的方式，通过“手机校验码＋证件号码的方式”找回密码；第二个方式是“通过安全保护问题”；第三个方式是“通过人工服务”。
分别对三种方式进行操作：
1、点击第一种找回密码的方式，跳出一个界面，要求输入“校验码”和“身份证号码”。
点击“点此免费获取”后，“捡到的手机”上便会收到一条短信，从而获取“校验码”。
（如果不知道机主的身份证号码，便无法再继续破解。）
2、点击第二种找回密码的方式“通过安全保护问题”，跳出一个界面，安全保护问题是：我的小学校名是？
（如果对账户主人不熟悉，也很难知道这个答案，也无法继续破解下去。）
3、点击第三种方式“通过人工服务”。跳出一个界面，提示输入一个新的邮箱地址。
我们输入一个QQ邮箱地址后，马上收到邮件，打开后，里面有一个链接地址，点击这个地址，便跳出了一个“找回登录密码申请表”，需要填写的项目包括“真实姓名”“手机号码”、需要选择的项目包括“证件所在地”、“证件类型”，需要上传的项目是“彩色、完整的证件图片”。
（很显然，如果仅是捡到支付宝账户主人的一部手机，没有身份证原件等更多信息的话，这一步也很难进行下去。即使这些信息都能填对或者选对，提交后，支付宝账户管理方面，还需要审核。）
结论：三种方式都无法破解密码
总的来说，在目前看来，只丢了手机的话，小偷顶多能去你支付宝里面看看，而无法偷走里面的东西。这就相当于小偷帮你把支付宝房间的锁直接换掉了，但无法把房间里金库的门打开。
“找回密码”界面已经升级，“手机号码+身份证号码”双重验证
我们发现，“蚂蚁腿全是肉”帖子上的所述的找回密码方式之一，仅需输入手机号码和验证码，便可进入下一步操作。而昨晚验证时，“找回密码”的界面，显然已经升级，除了需要输入手机号码之外，还需要输入“身份证号码”，很显然，如果捡到手机者无法知道账户主人的身份证信息，无法继续操作。
网友分析，可能是现在支付宝修改了这个BUG(漏洞)，那就意味前面已经被无数小偷成功验证的“漏洞”已经成为了小偷美好的回忆。
支付宝：如是单纯的手机丢失，造成支付宝账户资金被盗的可能性极小。
支付宝客服人员表示，支付宝的官方微博中，9月15日就曾发布了一条名为《手机丢了就代表支付宝完了，是真的吗？》的长微博，根据实际情况做了一次模拟演练，事实证明，如果手机丢了或被偷，要成功盗取到支付宝账户里的钱，是要在文中开始提到的很多个假设都成立的情况下才有可能。
微博中提到，可能有人说已经有人正在自己常用的电脑上模拟账户被盗、找回密码、解除数字证书、开始搬钱的过程，认为这一切都是可行的。其实不用浪费力气了，如果按照那个步骤去做100%会成功。因为你测试的电脑其实就是以往一直在使用这个支付宝账户的设备，这种情况下，系统会认为就是你本人进行的正常操作。但在日常生活中，陌生人捡到你的手机，是无法拿到你的电脑且在你日常使用的被系统认为安全的网络环境下去操作的，因此也就不可能成功。
我们在网上查询到，支付宝曾就此问题向媒体进行了回复：目前基于支付宝智能风险管理系统的保护，消费者在通过手机方式找回账户密码时，系统会根据账户当前操作环境的安全等级判断，给出不同的解决方案。一旦系统检测到安全风险，则需要手机验证码、身份证号码等多重信息的验证。因而如是单纯的手机丢失，则造成支付宝账户资金被盗的可能性极小。
大家都在买
软媒旗下软件：
IT之家，软媒旗下科技门户网站 - 爱科技，爱这里。
Copyright (C) , All Rights Reserved.
版权所有 鲁ICP备号