支付宝存在哪些漏洞

　　支付宝存在哪些漏洞

　　两名嫌犯张某、刘某,利用支付宝平台在账户改密业务中的漏洞，盗刷数家企业支付宝内的资金共20余万元。因涉嫌盗窃罪，目前他们被海淀区检察院批准逮捕。

　　张某、刘某一起在淘宝上开网店。在开店过程中，二人发现修改其网店的支付宝用户名和密码时，只需在网上向支付宝客服提交电子版营业执照即可;支付宝客服对电子版营业执照的审核不严，很容易受理通过。

　　二人发现这一漏洞后，就决定利用ps技术，伪造其他公司的电子版营业执照，提交修改密码申请,控制账户,盗窃资金。自2013年10月份以来，二人以上述方式盗取多家公司资金共计20余万元。

　　继日前爆出支付宝遭盗刷、安全性存在漏洞的事件后，今日围绕支付宝又惊现一起危害余额宝用户资金安全的事件。3月4日下午13点39分，支付宝通过其官方微博账号发布提示称，百度百科收录的“余额宝”词条中所公布的余额宝人工服务热线实为诈骗电话，提醒广大用户不要拨打，并正在与百度百科积极沟通。至下午三点许，百度百科已修复词条内容。

　　据了解，这已经不是支付宝用户第一次遇到诈骗事件。2月17日厦门何女士因支付宝快捷支付漏洞被诈骗4万余元;2月27日，凤凰资讯报道男子接假冒10086短信，余额宝半小时便被盗刷6205元;而3月3日，两名嫌犯张某、刘某利用支付宝平台在账户改密业务中的漏洞，盗刷数家企业支付宝内的资金共20余万元。

　　2月28日，《人民日报》报道称，支付宝环节复杂，漏洞颇多。收购支付宝信息、伪造身份证、持假证办理手机卡、盗取支付宝账户余额等系列行为，在圈子里已有了专属名词，称作“洗宝”。洗宝现在已形成犯罪产业链，大量不法用户利用这一系列繁琐过程中的漏洞，大发不义之财。

　　随着支付宝规模迅速膨胀，越来越多的诈骗伎俩在围绕着支付宝展开。日前爆出的支付宝存在技术漏洞或导致账户被盗，是支付宝推出之后出现的较为严重的安全性事件。有网友表示，骗子利用支付宝行骗的行为日渐猖獗，并不断通过各类平台展开各种形式的诈骗，这应该引起支付宝足够的重视。金融专家称，新型的互联网金融公司，一方面要增强自身安全的技术保障，一方面也要对用户网络支付的防范心理加强教导和疏通，速求发展情有可原，但切记不可操之过急。

　　记者发现，这一破解极其繁琐，要历经破解手机开机密码、支付宝登陆密码、支付宝支付密码三道门槛，而这三道门槛又设置了多重不同的找回验证信息，最终记者的实验失败了。

　　实测视频显示：作为“盗窃者”首先要破解手机的开机密码，这本身就几乎成为了不可能或者碰运气的事;

　　接下来，假设手机没有开机密码或密码被破，在找回支付宝登陆密码的环节中，需要手机验证码和身份证号两项信息双重验证。这就是说，没有身份证号，小偷连支付宝都登陆不了。

　　最后，再假设真的不走运被知道了身份证号，想转出支付宝里的钱还需要输入支付密码。从视频里可以看出，找回支付密码更加复杂，除了手机验证码和身份证，还需要验证安全问题或者银行卡卡号。

　　这意味着，小偷需要同时知道这些验证信息，否则破译支付宝的可能性几乎为0。

　　支付宝安全负责人表示：“支付宝是用户网上资金的一个重要管道，因此，资金安全一直是我们在设计产品和使用功能时考虑的重中之重。

　　比如为什么设置登录密码和支付密码双重密码规则，当初也是出于安全的考虑。”

　　如何保护好自己的支付宝安全 该负责人提醒用户：

　　1、设置单独的、高安全级别的密码，如果邮箱、sns网站(如微博、人人网、开心网等)等登录名和支付宝账户名一致，务必要保证密码不同。

　　2、设置不同的登录密码和支付密码;

　　3、使用数字证书、宝令、支付盾、手机动态口令等安全产品

　　支付宝方面表示，除了以上用户自我保护措施外，支付宝已联合平安保险全额承保，如果用户的账户发生被盗，支付宝100%赔付，且赔付金额无上限，最快24小时内赔付到位。这一承保范围涵盖支付宝快捷支付、余额、余额宝资金。