支付宝重大漏洞，只需知道银行卡和手机号即可改密码

finab

2017-01-10 10:51:06 +08:00

刚我同事在我没给任何帮助下的情况下，成功修改了我的密码。

dcsite

2017-01-10 10:53:50 +08:00

我也是~ 密码随便就被同事改了，还直接登录了~ 不说资金了，隐私全无~

TMD 支付宝~ 销号，能用微信就用微信吧

dcsite

2017-01-10 10:54:12 +08:00

@P99LrYZVkZkg 不需要任何验证码

qinxi

2017-01-10 10:55:22 +08:00

我通过同事的身份号也进入他的重置密码界面~

P99LrYZVkZkg

2017-01-10 11:02:42 +08:00

公司的财务不是知道全公司的银行卡+手机号？包括 boss 的？

P99LrYZVkZkg

2017-01-10 11:03:20 +08:00

@finab @dcsite 在新设备还是以前登陆过的设备？

appppap

2017-01-10 11:04:50 +08:00

还真是啊，随便点两张图片就能改密码了。

finab

2017-01-10 11:05:39 +08:00

@P99LrYZVkZkg 在他自己的手机上，方法是，输入我邮箱点找回密码，之后发手机验证码，点收不到，之后点 9 张图之一，里面有我同事，然后再点 9 张图，有我以前买的一个电高压锅，然后就可以设置新密码了。

P99LrYZVkZkg

2017-01-10 11:09:09 +08:00

@finab 修改以后在新设备登录需要手机确认么？

dcsite

2017-01-10 11:12:24 +08:00

@P99LrYZVkZkg 不需要验证，直接登录。我同事只知道我银行卡和手机号，就登录进去了。
已挂失，打客服电话，他们也不知道，只说向上面反馈然后给我答复。

finab

2017-01-10 11:12:46 +08:00

@P99LrYZVkZkg 没登录，但是看别人试了登陆的好像没有。

tghgffdgd

2017-01-10 11:21:17 +08:00

是不是这种情况还会被归到熟人作案不赔偿？

dcsite

2017-01-10 11:23:35 +08:00

@tghgffdgd 是的，刚打客服电话，是这样解释的，说是因为你自已的身份信息泄漏导致的。

justlikemaki

2017-01-10 11:33:10 +08:00

@admol 退出登录，忘记密码

lihua1358

2017-01-10 11:39:12 +08:00

@justlikemaki 同一台设备上实验没啥说服力吧

justlikemaki

2017-01-10 11:42:53 +08:00

@lihua1358 应该还有同 ip 的校验吧

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/333527

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.