V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xiaosun
V2EX  ›  程序员

对于支付宝,我也是醉了

  •  
  •   xiaosun · 2015-06-14 21:14:39 +08:00 · 10949 次点击
    这是一个创建于 3436 天前的主题,其中的信息可能已经有所发展或是发生改变。

    偶然登陆了下支付宝 , 吓了一大跳 , 有五笔我不知道的淘宝交易 , 查看下交易明细 , 是个工商银行的账户先往我支付宝打了5块钱 , 然后分五次支付了那种一块钱的虚拟商品 , 看样子是在拿我的号刷评价 , 作为一个程序员感觉甚是耻辱 , 现在问题来了 , 支付宝账号的安全等级高一点 (自己的钱没少 ,有点钱但都在余额宝里, 支付宝账户余额是0), 淘宝账户多年没用过 , 密码应该是多年前csdn爆库,淘宝账户和csdn账户密码类似(多了一个符号),淘宝账户肯定是不安全 ,也不太了解淘宝的付款流程 , 想不通的是 , 这个工商银行的账户往我账户上打钱并且消费 , 到底是淘宝的账户问题还是支付宝的账户问题呢 ? 支付宝账户里面的管理银行卡没看见那个工行 , 但快捷支付的选项里看见了那个工行 。

    还有今天这个事 , 要是我的钱不在余额宝里 , 而是在支付宝里 , 会不会就杯具了呢 ? 淘宝账户必定是不安全的(想让淘宝和支付宝账户解绑 , 告诉我说永远不能解绑 , 原因是我发布过宝贝) ,但这个工行的记录说明支付宝的账户也是不安全的 ,要不要直接把这个支付宝账号废掉

    第 1 条附言  ·  2015-06-15 11:16:48 +08:00
    22楼的回答已经可以让这个帖子终结了
    51 条回复    2015-06-16 11:44:07 +08:00
    xiaosun
        1
    xiaosun  
    OP
       2015-06-14 21:30:13 +08:00
    再次观察了下 , 那个工行好像是快捷支付 , 意思是淘宝不需要走支付宝通道就可以完成交易吗 ? 这样就意味着只是单纯的淘宝账户密码泄露喽?(不过为什么这些记录会出现在支付宝的交易记录里)
    mrjoel
        2
    mrjoel  
       2015-06-14 21:42:17 +08:00
    你的支付宝账户肯定有本人名字吧,要绑上快捷支付 必须卡是支付宝账户资料对应的身份证号码 以及 名字。

    还有 支付密码是怎么和淘宝密码一起泄露的
    ninqq
        3
    ninqq  
       2015-06-14 21:42:38 +08:00
    支付宝:密码泄露了怪我叻?

    证书+手机短信认证 表示就算密码告诉别人也无压力.支付盾懒的弄了
    AstroProfundis
        4
    AstroProfundis  
       2015-06-14 21:44:42 +08:00
    没看懂
    以及,为啥不改密码
    mrjoel
        5
    mrjoel  
       2015-06-14 21:45:44 +08:00
    然后现在。。。既然快捷支付绑定了一张陌生工行卡 且你有支付密码。。。。再常用ip下 工行快捷支付不会验证手机号码。。。

    然后............*********************

    下面我也不知道要干什么了。。我什么都没有说
    xiaosun
        6
    xiaosun  
    OP
       2015-06-14 21:54:32 +08:00
    @mrjoel
    @AstroProfundis
    @ninqq
    @mrjoel 密码肯定要改了, 只是目前的状况好像是淘宝账户被盗去刷评论 , 在淘宝里那人用的快捷支付 , 这个快捷支付的记录出现在了支付宝的记录里 , 好像是这么个情况 , 不过 , 工行的快捷支付不是某宝账户本人的手机号也可以吗?
    b7898585
        7
    b7898585  
       2015-06-14 22:00:39 +08:00
    代付吧
    mrjoel
        8
    mrjoel  
       2015-06-14 22:00:58 +08:00
    @xiaosun 手机号 无法验证是否是本人 只要是银行卡对应的就行 。。。。。
    xiaosun
        9
    xiaosun  
    OP
       2015-06-14 22:08:05 +08:00
    @mrjoel 嗯 , 刚才我也试了下 , 果然只要是银行卡对应的手机号就可以
    tnx2014
        10
    tnx2014  
       2015-06-14 22:59:19 +08:00
    @xiaosun 就算是能绑陌生卡,支付密码不知道怎么买东西的?而且如何弄到你的数字证书的?你的手机被劫持短信了?还是对方有你的身份证号?
    xiaosun
        11
    xiaosun  
    OP
       2015-06-14 23:06:12 +08:00
    @tnx2014 我一开始也好奇 , 刚才自己试了下 , 银行自己的快捷支付根本不需要支付宝 , 只是交易记录会出现在支付宝的记录里
    tnx2014
        12
    tnx2014  
       2015-06-14 23:06:56 +08:00
    目前看只有一种可能,用你的淘宝账户,用他自己的支付宝代付了。但他的支付宝就完全暴露了,炮灰的支付宝账户?
    tnx2014
        13
    tnx2014  
       2015-06-14 23:09:17 +08:00
    @xiaosun 这个,我汗。淘宝账户定期改密码吧。
    xiaosun
        14
    xiaosun  
    OP
       2015-06-14 23:10:11 +08:00
    @tnx2014 有道理 , 我刚才试的那次最后取消交易了 , 一样出现在了支付宝的交易记录里 , 但淘宝的银行快捷支付需不需要支付宝还不清楚(有支付宝的cookie?) , 反正没有输入支付密码的那一步
    zts1993
        15
    zts1993  
       2015-06-14 23:19:13 +08:00 via Android
    开启支付短信密码验证了么。

    看看支付宝有没有在其他手机登陆?
    yumijie
        16
    yumijie  
       2015-06-14 23:56:01 +08:00 via Android
    吐槽,

    趁机搞他钱吧
    tnx2014
        17
    tnx2014  
       2015-06-14 23:58:30 +08:00
    @xiaosun 没时间做实验,不过记忆中只要通过淘宝的东西就一定要输入支付密码的,因为淘宝即使不通过支付宝的快捷支付,也要通过支付宝转向网银界面,就如我在京东通过电子密码器也要输入支付密码那样,应该不可少。你买个需要的东西实验一次支付看看,实物东西最后还要确认支付的,所以他了选择虚拟物品。
    crab
        18
    crab  
       2015-06-15 00:04:53 +08:00
    重新注册个支付宝吧。再用自己的信息去验证,就可以取消掉这个支付宝的认证了。
    lvfujun
        19
    lvfujun  
       2015-06-15 00:32:09 +08:00
    @xiaosun 楼主是程序员?我擦.要如果是码农还好竟然是程序员.然后密码还被撞库了.:-O......
    lvfujun
        20
    lvfujun  
       2015-06-15 00:33:24 +08:00
    @xiaosun csdn 泄了那么多年了.你竟然不改密码.趁还没造成更大损失还不把你的常用密码改了.
    Imyssed
        21
    Imyssed  
       2015-06-15 05:43:11 +08:00 via Android
    远古大坑被挖了反而是很好的警告……
    ulic95
        22
    ulic95  
       2015-06-15 06:43:58 +08:00   ❤️ 1
    不是本人的快捷支付也是可行的。
    davidyin
        23
    davidyin  
       2015-06-15 06:45:13 +08:00
    1)不用快捷支付。
    2)保留原来的支付宝支付密码,我的原来的是11位的密码,居然提示我改成六位的,直接忽略,坚决不改。
    testisitok
        24
    testisitok  
       2015-06-15 07:36:04 +08:00 via Android
    支付宝是流氓且安全,自己问题不要瞎BB
    reeco
        25
    reeco  
       2015-06-15 07:46:01 +08:00 via iPhone
    不明白你在吐槽什么
    yghack
        26
    yghack  
       2015-06-15 07:57:37 +08:00
    首先我觉得是楼主自身安全意识的问题
    yylzcom
        27
    yylzcom  
       2015-06-15 08:42:13 +08:00
    1. 绑定快捷支付好像必须是和本人实名相同的银行卡
    2. 绑定快捷支付好像必须有银行所留的手机号的短信验证码(小额支付好像不用)
    3. 快捷支付必须要有支付密码(小额支付好像不用)

    那么问题来了,楼主是如何做到把以上东西全部泄漏的?
    Panic
        28
    Panic  
       2015-06-15 08:43:22 +08:00
    逻辑混乱,没看完。
    不过你区区5块钱也触发不了风控
    bk201
        29
    bk201  
       2015-06-15 08:44:38 +08:00
    卧槽,第一反应是po主为何不刷那个工商的卡
    smithtel
        30
    smithtel  
       2015-06-15 08:50:57 +08:00
    刷存在感也不是这么来刷,暴露自身安全意识?
    initdrv
        31
    initdrv  
       2015-06-15 08:53:45 +08:00
    似懂非懂的样子,大伙得提高安全意识啊!
    javaluo
        32
    javaluo  
       2015-06-15 08:56:21 +08:00 via Android
    不明白你在说什么 逻辑太混乱了
    xiaming
        33
    xiaming  
       2015-06-15 09:00:27 +08:00
    没看懂!
    hkongm
        34
    hkongm  
       2015-06-15 09:03:13 +08:00
    快捷支付都关了吧
    腾讯那边盗刷了我500多,好几笔,直接110了,腾讯花了1个月才把钱还我
    银行说了,唯一的解决方案就是经常换密码,多复杂的密码都没用
    honeycomb
        35
    honeycomb  
       2015-06-15 09:13:39 +08:00
    @ninqq
    支付宝的问题是:

    1,快捷支付的不安全就不用说了
    2,支付宝的证书不支持PPAPI,连同它和安全控件都是有隐私风险,拖慢系统性能的Rookit软件
    3,手机短信认证的安全性有限
    4,支付盾甚至不支持第二新的操作系统版本(见fido U2F key)
    5,钱盾就是个垃圾软件(两步验证工具见Mircosoft Account)


    其它问题:
    1,实名账户强推快捷支付,花呗
    2,搞信用识别

    最近把支付宝降级到非实名账户
    这样就没有1的问题了,2的影响也会减小
    killapper
        36
    killapper  
       2015-06-15 09:17:40 +08:00
    我只想说你的支付宝安全性太低了
    yahoo21cn
        37
    yahoo21cn  
       2015-06-15 09:23:11 +08:00
    各个账户要用不同的密码
    shunia
        38
    shunia  
       2015-06-15 09:35:28 +08:00
    shunia
        39
    shunia  
       2015-06-15 09:35:50 +08:00
    挖,黑科技
    zzNucker
        40
    zzNucker  
       2015-06-15 09:39:22 +08:00
    @honeycomb 然而先不论你说的都对不对,就算你说的都是支付宝的锅,这个帖子也不关支付宝毛事。
    zhy
        41
    zhy  
       2015-06-15 09:42:06 +08:00
    支付密码只存在脑中╮(╯▽╰)╭
    honeycomb
        42
    honeycomb  
       2015-06-15 09:48:49 +08:00
    @zzNucker
    这就导致两个问题:

    1,支付宝自己在给自己挖坑
    2,支付宝的安全工具不好用,导致没法用,又是挖坑

    在现在阿里巴巴如此强势的情况下,只能采取一些缓解(mitigate)措施,来减少阿里系的全面入侵
    lyazure
        43
    lyazure  
       2015-06-15 10:11:02 +08:00 via Android
    @ninqq 这么说不对,楼主这个是通过快捷进行的代扣,即使短信认证u盾等所有安全措施做全都没有用。

    楼主的资料应该是被泄露了,然后通过安全性较低的某些快捷通道操作的
    iamjal
        44
    iamjal  
       2015-06-15 10:27:42 +08:00
    你先确定一下 是不是你媳妇/男人 在用你的支付宝刷信用吧…支付宝原则上支持快捷方式代扣,但是绑定第三人的卡这个是不太可能实现的…(卡主必须与实名认证身份一致)

    而且一般来说支付宝都有“支付密码”和短信提醒一说,你的账户余额变动,势必会有短信提醒到你。

    so. 综合你的情况,要么…你的支付宝安全手机没有及时更新到你最新的手机,要么就是你的熟人朋友在操作…!不过总而言之,你的安全意识让人堪忧!

    如果该支付宝账户不想再使用了,你可以:1.修改一些核心的资料(最好是你自己也记不住的),2.将登陆密码/支付密码修改为你媳妇/男人知道了也懒得输入的长密码。……

    不谢
    xiaosun
        45
    xiaosun  
    OP
       2015-06-15 11:11:53 +08:00 via Android
    @ulic95 这么多长篇大论就你这简单的一句说到点子上了
    hell0wor1d
        46
    hell0wor1d  
       2015-06-15 12:13:00 +08:00
    @davidyin 6位密码是手机上用的
    qsl0913
        47
    qsl0913  
       2015-06-15 14:16:59 +08:00
    快捷支付是个品牌,细化到背后的业务,签约支付等,对应到不同实名类型的账户、不同银行,甚至不同卡cardbin都可能会有差异。
    davidyin
        48
    davidyin  
       2015-06-15 15:32:13 +08:00
    @hell0wor1d 但是我手机上也不愿意用6位的简单密码。
    kobe1941
        49
    kobe1941  
       2015-06-15 15:53:13 +08:00
    指纹支付无压力
    ulic95
        50
    ulic95  
       2015-06-16 06:49:59 +08:00
    @xiaosun 所以有时候也觉得后怕~
    unmois
        51
    unmois  
       2015-06-16 11:44:07 +08:00
    wocao
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2708 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 38ms · UTC 06:49 · PVG 14:49 · LAX 22:49 · JFK 01:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.