色影无忌

央视曝光支付宝找回密码有漏洞 钱款被不法分子转走
3549 127
[1 楼] 一花 [资深泡菜]
14-1-27 14:00
手机号绑定支付宝账户要小心!支付宝找回密码功能,可通过“手机验证码+证件号”将支付宝密码找回或更换,所以一旦手机号码、身份证号码同时被泄漏,犯罪分子就能先利用身份证补办手机卡,然后更改支付宝账户密码,轻松转账。希望支付宝能尽快解决这一问题!
1月26日消息,今日央视新闻频道《东方时空》栏目播出了《支付宝找回密码功能有漏洞账号安全受威胁》。央视节目称,因为此前一次支付宝泄密事件导致的信息泄漏,不法分子以此寻找受害人信息,通过找回密码来获得用户支付宝访问权限,从而将支付宝的钱款转走。

以下是节目文字实录:

主持人:根据犯罪人的介绍,他们掌握了当事人的姓名、手机号码和身份证号码这些信息之后呢,就能通过支付宝来盗取这些人的银行卡内的存款,首先犯罪嫌疑人是根据事先从网上获取的当事人的个人信息伪造假的身份证,然后再利用※※※※补办一张当事人的手机卡,如果当事人的支付宝和这个手机号绑定的话,那么犯罪嫌疑人就能易如反掌的登陆当事人的支付宝账户,通过支付宝账户将当事人银行卡内的存款转走。
    
    犯罪嫌疑人究竟怎么样登陆当事人的支付宝账户呢?我们接着往下看。
    
    解说:支付宝有一个找回密码功能,用户一旦忘记密码可以使用这个功能设置新密码,而正是这个为了方便用户的功能给不法分子留下了可乘之机。
    
    记者按照嫌疑人的说法在自己的电脑上进行了验证,记者打开支付宝登陆页面之后点击忘记登陆密码选项系统弹出找回登陆密码页面,在输入用户名和验证码后,页面上出现了两种找回方式,记者选择了系统推荐的通过手机验证码加证件号码的方式进行找回。很快手机上就收到了一条验证码短信。
    
    不过系统提示,要想找回支付宝密码还必须输入个人身份证号码,当校验码和身份证号码都输入正确后,就可以为支付宝重新设置密码,进入支付宝后,记者又用相同的方法重新设置了支付密码,这样就可以成功完成转账等操作了。
    
    但是,像王女士这种情况,一旦手机号码,身份证号码同时被泄露,帐号的安全性就会受到威胁。
    
    崔宝江(北京邮电大学计算机学院副教授):除了相关的一些手机验证码,还可以增加第三重的,比方说电子邮件验证,第四重的包括相关安全问题的一些验证,二代身份证里边都有一个非接触式IC卡,这个IC卡呢它制造的成本还有相关涉及到一些技术是比较复杂的,往往这种犯罪嫌疑人想伪造二代身份证这种非接触式IC卡难度是比较大的。
    
    解说:然而,调查中记者了解到,在很多中小型移动通讯营业厅都没有有效识别身份证件真伪的设备。另外一个值得关注的环节是,犯罪嫌疑人到底是怎么获取王女士等人的个人信息的呢?
    
    杨某(犯罪嫌疑人):个人信息是因为今年(2013年)3月份有一个网络泄密事件,通过泄密事件有一批客户的名单流传到网上了,我就通过那个事件在网上收集他们这批人的名单,在上面随机筛选的。
[128 楼] 珂2019 [泡菜]
21-8-18 16:41
pierrehu 发表于 2021-8-18 15:38
不是商家扫不走的


注册成商家好像也不难吧。我没试过,但觉得应该不难。比起造※※※※假基站,这事儿简直太没难度了。
[127 楼] 珂2019 [泡菜]
21-8-18 16:39
老顽童 发表于 2021-8-18 14:37
人的姓名、手机号码、身份证号码是“隐私”吗?需要严格保密吗?如果别人知道了我的这些信息,就可以盗走我的银行卡内存款吗?我咋觉得这都是※※※息呢?谁能将自己的姓名保密?姓名保密了你怎么和别人来往?谁能将自己电话保密?电话号码保密了别人怎么给你打电话?谁能把身份证号码保密?保密了身份证还能用吗?


这事说来话长,也都是无奈。
按说这些都不是稳私,但是有些网站和公司的线上服务靠这些就决定很重要的事情。这是网站和公司的问题,但是,如果没有人管他们的话,那就只能用户自己小心了。
这种事情在美国也是类似的,社会保险号不要随便给人。

身份证号不是隐私,但身份证照片就是稳私了。

就像前边说的电话SIM卡被窃造成连带的存款损失,本来没有移动公司一分关系,还有很多人喊着要移动公司负责任。

话说银行、各种宝用手机和手机号码作保护本来就不是可靠的。这东西就不是可靠设备。
脸识也是不可靠的。
自动驾驶,那简直就是个玩具。
[126 楼] 坐看闲云 [泡菜]
21-8-18 16:04
老顽童 发表于 2021-8-18 14:37
人的姓名、手机号码、身份证号码是“隐私”吗?需要严格保密吗?如果别人知道了我的这些信息,就可以盗走我的银行卡内存款吗?我咋觉得这都是※※※息呢?谁能将自己的姓名保密?姓名保密了你怎么和别人来往?谁能将自己电话保密?电话号码保密了别人怎么给你打电话?谁能把身份证号码保密?保密了身份证还能用吗?


如果取得这些信息就能卷走钱,这说明相关行业漏洞太大了
现在哪里不登记身份证手机,特别是学生,考个什么,或考公,考编制,报名登记都要这些信息。
就是以前社区里登记防疫外来人员都有身份证号,手机号,而且还随随便便发群里了。
[125 楼] pierrehu [泡菜]
21-8-18 15:38
Tianmou 发表于 2021-8-16 17:45
有那种在超市结帐,提前把付款二维码调出来排队,人家在你身后偷偷一扫,直接收款XXXX元,密码都不用


不是商家扫不走的
[124 楼] 路上行人 [泡菜]
21-8-18 15:14
近期从某多买了几次东西,退货2次,注明是包退货邮费,但需先自负,商家收到退货后,开始领退货邮费,这一步需要身份证+姓名,这是不是坑?一直没取现。想想还是算了吧。 本帖最后由 路上行人 于 2021-8-18 15:18 编辑
[123 楼] 老顽童 [陈年泡菜]
21-8-18 14:37
人的姓名、手机号码、身份证号码是“隐私”吗?需要严格保密吗?如果别人知道了我的这些信息,就可以盗走我的银行卡内存款吗?我咋觉得这都是※※※息呢?谁能将自己的姓名保密?姓名保密了你怎么和别人来往?谁能将自己电话保密?电话号码保密了别人怎么给你打电话?谁能把身份证号码保密?保密了身份证还能用吗?
[122 楼] ppchris [禁言中]
21-8-18 14:10
珂2019 发表于 2021-8-18 13:49
这种犯罪的成本很低,收益很高,抓住了惩罚却很轻。


以前一个新闻栏目主持人狠狠调侃当天一则新闻,有人举报一个卤菜店黑作坊,工商上门检查,处理结果就是下次不要再干了,主持人就说,看到这处罚没有,就下次不要再做了哦!
[121 楼] 珂2019 [泡菜]
21-8-18 13:49
ppchris 发表于 2021-8-17 13:08
上海市消协十几年前就批评过这种现象,不要老是要求消费者注意这个注意那个,普通消费者不是专家,不需要这么多专业知识,有这个义务的是监管部门,可惜这么多年了,依旧原地踏步。


这种犯罪的成本很低,收益很高,抓住了惩罚却很轻。
[120 楼] 树下的石头 [泡菜]
21-8-17 13:22
smtimesmwhere 发表于 2014-1-29 16:38
重新挂失了补张卡还未必有损失?

就损失一张卡的工本费。
如果有人拿你的身份证补卡、修改密码、办信用卡,银行要负责赔偿你的损失。
[119 楼] 树下的石头 [泡菜]
21-8-17 13:15
Citrix 发表于 2014-1-27 14:09
那么银行补银行卡,重置密码和预留手机号需要什么材料?

这个国家有规定,如果有人拿着你的身份证去银行补卡或办信用卡,银行需要负责赔偿你的损失。
[118 楼] ppchris [禁言中]
21-8-17 13:08
至暗时刻 发表于 2021-8-17 12:01
我也想不通这个问题, 好歹是自己家的韭菜, 别人家的猪来了, 不去把猪赶走, 却只要求韭菜自己保护自己?


上海市消协十几年前就批评过这种现象,不要老是要求消费者注意这个注意那个,普通消费者不是专家,不需要这么多专业知识,有这个义务的是监管部门,可惜这么多年了,依旧原地踏步。
[117 楼] 至暗时刻 [禁言中]
21-8-17 12:01
ppchris 发表于 2021-8-16 18:16
央视为什么不问问电信诈骗的受害人他们的信息是怎么泄露出去的?
我也想不通这个问题, 好歹是自己家的韭菜, 别人家的猪来了, 不去把猪赶走, 却只要求韭菜自己保护自己?
[116 楼] 珂2019 [泡菜]
21-8-17 11:58
wzqzh 发表于 2021-8-16 22:09
我办信用卡的时候,小姑娘一个劲让我输密码,我坚决不要,要设置密码当下就退卡不用了。几个人轮番给我做工作,最终还是没有设密码。不明白银行这是啥意思,信用卡的本质不就是信用两个字,设置密码和借记卡有啥区别。


对一些银行,设了密码的话,损失完全由用户承担.
签字的话,如果被盗刷,用户及时报案,那么损失用银行承担.
说的是信用卡.
[115 楼] wzqzh [泡菜]
21-8-16 22:09
珂2019 发表于 2021-08-16 17:13
当然有人知道。凡是用手机短信验证的,都有这样的风险。
可是很多地方都要你留身份证号甚至身份证照片,很多还要求在线上传。
所以,我...

我办信用卡的时候,小姑娘一个劲让我输密码,我坚决不要,要设置密码当下就退卡不用了。几个人轮番给我做工作,最终还是没有设密码。不明白银行这是啥意思,信用卡的本质不就是信用两个字,设置密码和借记卡有啥区别。
发布自 安卓客户端
[114 楼] ppchris [禁言中]
21-8-16 18:16
央视为什么不问问电信诈骗的受害人他们的信息是怎么泄露出去的?
[113 楼] 珂2019 [泡菜]
21-8-16 17:59
醉空行 发表于 2021-8-16 17:43
支付宝不是有刷脸支付技术吗?为什么更改密码这么大的事情,又不刷脸了呢。刷脸用照片都通不过,保密性可以啊,为什么不用呢?


刷脸应该严禁商业应用,只能由公安系统使用。
[112 楼] 珂2019 [泡菜]
21-8-16 17:58
Tianmou 发表于 2021-8-16 17:45
有那种在超市结帐,提前把付款二维码调出来排队,人家在你身后偷偷一扫,直接收款XXXX元,密码都不用


特别注意远处那些拿着带望远镜头的手机的那些人。
[111 楼] 雷力 [陈年泡菜]
21-8-16 17:57
手机卡设置一个pin码的事,这都能赖支付宝
[110 楼] 午夜半杯茶 [泡菜]
21-8-16 17:46
Tianmou 发表于 2021-8-16 17:45
有那种在超市结帐,提前把付款二维码调出来排队,人家在你身后偷偷一扫,直接收款XXXX元,密码都不用
这个知识要普及,不要提前调出付款码
[109 楼] Tianmou [资深泡菜]
21-8-16 17:45
有那种在超市结帐,提前把付款二维码调出来排队,人家在你身后偷偷一扫,直接收款XXXX元,密码都不用
[108 楼] 午夜半杯茶 [泡菜]
21-8-16 17:44
醉空行 发表于 2021-8-16 17:43
支付宝不是有刷脸支付技术吗?为什么更改密码这么大的事情,又不刷脸了呢。刷脸用照片都通不过,保密性可以啊,为什么不用呢?
你一说刷脸,我就觉得应该普及3D结构光才安全。
[107 楼] 醉空行 [泡菜]
21-8-16 17:43
支付宝不是有刷脸支付技术吗?为什么更改密码这么大的事情,又不刷脸了呢。刷脸用照片都通不过,保密性可以啊,为什么不用呢?
[106 楼] 午夜半杯茶 [泡菜]
21-8-16 17:34
我认为事情的关键是能够用※※※※补办电话卡。
[105 楼] mirage20000 [资深泡菜]
21-8-16 17:33
一看是2014年的俺就放心了。

现在要在线读身份证的,造※※※※无法通过验证,另外还要活体认证的,就是要本人活体验证才可以补办手机卡。

从身份证到手机卡根本就不可能通过的。
[104 楼] qtomcn [资深泡菜]
21-8-16 17:30
向前一镖 发表于 2014-1-29 07:14
有人反映好像支付宝的快捷支付是无法关闭,只要有手机身份号银行账号即可刮划走存折的钱,银行密码相当于透明,用过的818吧。。。
都能关闭,不过以后遇到一些支付会再次让你开启,烦死了
[103 楼] 珂2019 [泡菜]
21-8-16 17:24
移动公司有他的问题,但是,支付宝这事,没他什么责任,因为他根本就是无关的第三方,又不是他求着支付宝用手机验证的。
[102 楼] 珂2019 [泡菜]
21-8-16 17:13
一花 发表于 2014-1-27 14:43
做为用户,央视没曝光时,大家知道有这个漏洞吗?相信没几个人知道
怎么解决是安全专家的事情,怎么更安全也是安全专家的事,我不专业,但做为用户,没听到支付宝团队有过任何风险提示。只是一味在宣传支付宝/余额宝多么多么安全,我自己存了部分钱进去,也介绍朋友存了,现在想想好二,已逐个通知相关朋友有风险,怎么处理他们自己看着办了


当然有人知道。凡是用手机短信验证的,都有这样的风险。
可是很多地方都要你留身份证号甚至身份证照片,很多还要求在线上传。
所以,我坚决不办任何在线的需要留个人信息的业务,业务员说的天花乱坠也不办。

在这里比较一下不同地方在这件事上的不同:
有的地方:签字消费,这是对人性很大的信任,不过,信用卡被盗刷的话,发卡方承担损失。
有的地方:输密码消费,全过程有些地方有严重漏洞,而且,有损失的话,个人承担(写在合约里的)。
[101 楼] 向前一镖 [资深泡菜]
14-1-29 17:05
smtimesmwhere 发表于 2014-01-29 16:38
重新挂失了补张卡还未必有损失?
好吧,有损是吧。。。
本帖由安卓客户端发布
[100 楼] smtimesmwhere [资深泡菜]
14-1-29 16:38
向前一镖 发表于 2014-1-29 15:23
那倒不一定,我把身份证和银行卡弄丢了,未必有损失,想想,快捷支付绕过银行密码和口令卡直接取钱,违反了银行和你签订的凭密码取款的协议,这不是幸不幸运的问题哦。。。

重新挂失了补张卡还未必有损失?