SafeWos是一个专业解决安全问题的运维顾问服务平台,专为企业安全定制。
近日,一篇文章引发关注和热议,文章由一位信息安全专家根据亲身经历梳理。文章作者老骆驼表示,由于家人一部手机被盗,自己经历一场与一伙专业老练、利用窃取个人信息盗取他人银行账户资金的犯罪团伙斗智斗勇的事件。文章提到了众多企业,包括电信、华为、支付宝、美团、苏宁金融等,引发大家对财产安全的警惕和讨论。
对此,支付宝相关部门人员在朋友圈回应称支付宝“非攻”安全实验室的同学第一时间和老骆驼联系上了,并了解了相关情况。回应指出,文章所披露的黑产在支付宝里没套到钱和信息;且支付宝承诺资金被盗全额赔付,包括手机丢失导致的。
此外,支付宝相关部门人员在回应中提到,热文中的对手确实是高阶黑产,但黑产在修改支付密码时被支付宝风控拦住了,查不了银行卡号,也没法收付款,才注册了一个新号,但新号也不能使用原号里的钱。
“不过他有2点推断与实际情况不符,在这个case中:1、黑产并没有突破人脸识别:能注册新号是通过其他渠道已掌握的身份信息和短信验证码,在常用设备上实现的。2、黑产不是通过快速绑卡获得银行卡号的,而是通过输入用户的银行卡卡号+预留手机的短信验证码绑卡的,卡号是黑产通过其他渠道获得的。”
回应同时表示,这篇文章既给用户提了醒,也让支付宝的风控能做进一步的优化。并建议大家单独为SIM卡设置密码, 能在一定程度上防止黑产接收验证码。
据老骆驼表示,事发后,事件中涉及的几家支付公司都积极联系到其本人,美团的贷款记录消除了,苏宁金融把损失的几千都赔付了。
后续,作者在提到支付宝人脸识别的绕过时表示,“支付宝在进行业务设计时,对在原手机上创建并登陆的子账号,在实名认证时匹配身份信息的各项要素通过风控规则校验与主账号一致的情况下是不需要人脸验证的,这一点我们办公室的多位工程师今天下午在对我的被盗刷事件进行技术复盘时也验证确实是如此,人脸识别的绕过确实错怪他们了,这也解释得通为何犯罪分子需要解锁偷到的手机进行支付宝的登录,推测是为了不触发支付宝的风控规则。”(雪梅)
以下为支付宝相关团队回应原文:
支付宝「非攻」安全实验室的同学第一时间和老骆驼联系上了,根据账号我们复原了支付宝相关的情况,和大家做个说明。
先说结论:
1、黑产在支付宝这里没套到钱和信息;
2、大家放心,支付宝承诺资金被盗全额赔付,包括手机丢失导致的。
看了长文,对手确实是高阶黑产,老骆驼也很厉害,抽丝剥茧分析得很详尽。黑产修改支付密码时被支付宝风控拦住了,查不了银行卡号,也没法收付款,才注册了一个新号,但新号也不能使用原号里的钱。
不过他有2点推断与实际情况不符,在这个case中:
1、黑产并没有突破人脸识别:能注册新号是通过其他渠道已掌握的身份信息和短信验证码,在常用设备上实现的。
2、黑产不是通过快速绑卡获得银行卡号的,而是通过输入用户的银行卡卡号+预留手机的短信验证码绑卡的,卡号是黑产通过其他渠道获得的。
很感谢老骆驼的记载,既给用户提了醒,也让我们的风控能做进一步的优化。希望老骆驼在其他平台上的损失能尽快找回。
建议大家单独为sim卡设置密码, 能在一定程度上防止黑产接收验证码。另外,如果使用支付宝时有什么问题,可以随时电话我们的客服95188。
客服电话:159-6020-8552
工作时间:9:00-18:00 (工作日)
意见建议:safewos@qq.com