Alipay의 주요 취약점에는 어떤 일이 발생했나요?

1월 10일 이른 아침, 일부 네티즌들은 알리페이 로그인에 보안 취약점이 있다는 사실을 웨이보에 폭로했다. 비밀번호 다음 인증옵션에서 합격한 친구, 지인 관련 정보를 입력하시면 성공적으로 로그인하여 비밀결제가 가능합니다.

10일 오전 알리페이 직원은 환구시보 기자와의 인터뷰에 응해 이날 오전 일찍 네티즌들이 노출한 정보에 대해 알게 됐다고 밝혔다. 다른 사람의 Alipay 계정에 로그인할 때의 허점도 제거되었습니다. 해당 직원은 알리페이 보안 관련 사업부 직원이 이에 대해 후속 조치를 취하고 조사 중이며 아직 외부의 보다 자세한 답변과 설명을 기다려야 한다고 말했다.

이전에 네티즌들이 노출한 Alipay 로그인 프로세스는 다음과 같습니다.

1. Alipay 로그인 인터페이스를 열고 계좌 번호를 입력한 후 비밀번호 찾기를 클릭하세요.

2 .계좌번호 입력 후 바로 클릭하면 문자 수신 불가

3. 인증방법은 여러가지 있는데 아는 방법, 지인인증, 아는 친구정보 중에서 선택하세요

4. 비밀번호 변경, 원래 비밀번호 직접 잊어버리고, 직접 변경

5. 수정 후 계정에 직접 로그인하여 모든 기능 이용, 비밀번호 없는 결제 지원

해당 소식을 폭로한 네티즌들은 알리페이 취약점을 통해 낯선 사람이 1/5%의 확률로 타인의 알리페이에 로그인할 수 있으며, 지인도 타인의 알리페이에 100% 로그인할 수 있다고 전했다.

기자가 이 방법으로 로그인했을 당시 알리페이 '비밀번호 찾기' 로그인 과정에서 친구 정보나 지인을 확인할 수 있는 옵션이 없었다. 그러나 또 다른 네티즌은 사용자가 다른 사람의 휴대폰에서 Alipay 계정에 로그인한 후 해당 휴대폰에서 다시 로그인할 때 친구나 지인의 정보를 통해 로그인할 수 있는 옵션을 찾을 수 있음을 글로벌 타임즈에 밝혔습니다. 취약점이 Alipay에 의해 완전히 "제거"되지 않은 것 같습니다.

위 상황에 대해 알리페이는 검증 방식이 업그레이드돼 이용자 자금의 안전성은 여전히 ​​보장될 수 있다고 답했다. 알리페이 공식 웨이보는 10일 11시 56분 “특정 상황에서는 위에서 언급한 허점은 존재한다”고 긴급 대응했다. “이용자들의 보안감을 더욱 높이기 위해 네티즌들의 피드백을 받은 후 오늘 오전 위험 관리 시스템의 보안 수준을 더욱 향상시켰습니다. 현재는 이용자 본인의 휴대폰에서만 최근 구매한 상품을 식별하고 식별할 수 있습니다. 이 방법은 다른 모바일 장치를 통해 로그인 비밀번호를 검색하는 데 사용할 수 없습니다. "그리고 사용자가 다른 장치에서 Alipay에 로그인하면 해당 장치에 알림이 전송됩니다.

다음은 알리페이 답변 전문이다.

네티즌들로부터 친구 식별과 최근 구매한 물품 식별을 통해 알리페이 로그인 비밀번호를 알아낼 수 있다는 제보를 받았다.

이 접근 방식은 특정 상황에서만 가능합니다. 일반적으로 사용자는 로그인 비밀번호를 검색하려면 최소한 휴대폰 SMS 인증 코드를 입력해야 합니다. 일시적으로 문자 메시지를 받을 수 없거나 모바일 기기를 변경한 일부 사용자의 경우 당사 위험 관리 시스템에서 먼저 평가(계정 정보의 완전성, 네트워크 환경 및 기타 요소 등)를 수행합니다. 보안 요소가 높으면 사용자는 일련의 보안 질문에 대답해야 합니다. 대답이 올바른 후에만 로그인 비밀번호를 변경할 수 있습니다.

이 전략은 로그인 비밀번호만 검색할 수 있으며 보안 질문에 답변하는 것만으로는 결제 비밀번호를 검색할 수 없습니다. 그리고 사용자의 Alipay가 다른 장치에 로그인되면 개인 장치는 알림 알림을 받게 됩니다.

이용자들의 보안 의식을 더욱 높이기 위해 네티즌들의 피드백을 받아 위험 관리 시스템의 보안 수준을 더욱 향상시켰습니다. 현재 본인의 휴대폰에서만 최근 구매한 상품 확인 및 친구 식별을 통해 로그인 비밀번호를 검색할 수 있으며, 다른 모바일 기기를 통한 로그인 비밀번호 검색은 불가능합니다.

또한 보안 정책에 대한 사용자의 지속적인 의견과 제안을 환영하며, 피드백을 바탕으로 보안 정책을 더욱 개선하고 수정할 것입니다.