支付寶重大安全漏洞是什么 熟人改密碼百分百成功轉賬

為了驗證網上流傳的“快捷支付存在安全問題”是否真實，記者做了一個實驗，模擬在“撿到”一部手機之后，如何破解密碼并刷取卡內資金。首先，記者拿起同事的一部手機，當然前提是這部手機已經綁定了支付寶快捷支付，并且假設記者并不知道該同事的其他信息。下面是記者的實驗過程：

支付寶重大安全漏洞是什么

第一步：記者打開支付寶的登入界面，在賬戶名一欄記者看到輸入手機號碼或郵箱地址的提示，而這兩個信息拿到手機的人都會知道，記者點擊旁邊的忘記登錄密碼，并嘗試這個手機的號碼或手機里面的QQ郵箱是否已注冊支付寶賬號，記者嘗試后知道，這個手機的號碼就是支付寶的賬號。

第二步：接下來是輸入手機驗證碼，當你點擊發送手機驗證碼時，會有一組六位數字的驗證碼發到這個手機上，這時只要你輸入這組數字，就可以進入更改密碼的界面，記者由此完成對密碼的修改。

第三步：知道支付寶賬號和密碼后，記者登入這個賬號的支付寶界面，在賬戶管理的界面里，記者可以看到這個賬號上面的余額，還能看到這個賬號綁定了中國銀行卡。記者同樣運用找回密碼這一功能，用這個手機接到的驗證碼將綁定的銀行卡快捷支付密碼更換。

第四步：記者接下來通過快捷支付轉賬，輸入新的支付密碼后，成功轉出中國銀行規定的最高額度兩萬元。記者看了一下時間，從開始操作修改密碼到完成轉賬，記者只用了5分鐘時間。

支付寶重大安全漏洞是什么

隨后，記者又讓同事修改銀行卡密碼。但是記者發現銀行卡密碼被修改后，支付寶賬戶綁定的銀行卡付款操作并未受到任何影響。這意味著，開通快捷支付后，萬一手機被盜，綁定的銀行卡很容易遭到盜刷，即使用戶修改了銀行卡的密碼也無法阻止盜刷。

完成這些后，記者也覺得不可思議，資金的安全鑰匙如此輕易地被一一破解，到底問題出在哪里？

在實驗過程中，記者也發現，這次實驗的成功也存在偶然性，第一是手機的主人就用手機號碼作為支付寶的賬號，讓后面的密碼尋找成了可能。第二就是手機的主人并沒有添加支付寶的付費保障手段。所以記者才能用一個手機就能破解手機主人的支付寶賬號密碼和綁定的銀行卡賬號支付密碼。

支付寶重大安全漏洞是什么

記者就這一現象請教了中國銀行湖南省分行電子銀行部門的一位專家，他告訴記者，目前金融已經進入網絡時代，各種網絡支付手段都會使用到移動驗證或郵箱驗證，上面出現這樣的情況就是因為手機這個驗證平臺出現了問題，并且手機主人使用手機號碼作為了支付寶賬號，所以才造成了資金賬號的安全問題。