央视曝光支付宝漏洞 钱款被不法分子转走

嫌犯通过网上泄露的信息，办假身份证，再补办当事人手机卡，重设支付宝密码即可转账

昨日央视新闻频道《东方时空》栏目播出了《支付宝找回密码功能有漏洞账号安全受威胁》。该节目称，因为此前一次支付宝泄密事件导致的信息泄漏，不法分子以此寻找受害人信息，通过找回密码来获得用户支付宝访问权限，从而将支付宝的钱款转走。

用假身份证补办当事人手机卡

根据犯罪嫌疑人杨某介绍，他们掌握了当事人的姓名、手机号码和身份证号码这些信息之后，就能通过支付宝来盗取这些人的银行卡内的存款，首先犯罪嫌疑人根据事先从网上获取的当事人的个人信息伪造假的身份证，然后再利用假身份证补办一张当事人的手机卡，如果当事人的支付宝和这个手机号绑定的话，那么犯罪嫌疑人就能易如反掌地登录当事人的支付宝账户，通过支付宝账户将当事人银行卡内的存款转走。

犯罪嫌疑人究竟怎么样登录当事人的支付宝账户呢？

支付宝找回密码功能有漏洞

支付宝有一个找回密码功能，用户一旦忘记密码可以使用这个功能设置新密码，而正是这个为了方便用户的功能给不法分子留下了可乘之机。

记者按照嫌疑人的说法在自己的电脑上进行了验证，记者打开支付宝登录页面之后点击忘记登录密码选项系统弹出找回登录密码页面，在输入用户名和验证码后，页面上出现了两种找回方式，记者选择了系统推荐的通过手机验证码加证件号码的方式进行找回。很快手机上就收到了一条验证码短信。

不过系统提示，要想找回支付宝密码还必须输入个人身份证号码，当校验码和身份证号码都输入正确后，就可以为支付宝重新设置密码，进入支付宝后，记者又用相同的方法重新设置了支付密码，这样就可以成功完成转账等操作了。

但是，像王女士这种情况，一旦手机号码、身份证号码同时被泄露，账号的安全性就会受到威胁。

中小通讯营业厅难识别假身份证

崔宝江（北京邮电大学计算机学院副教授）：除了相关的一些手机验证码，还可以增加第三重的，比方说电子邮件验证，第四重的包括相关安全问题的一些验证，二代身份证里边都有一个非接触式IC卡，这个IC卡制造的成本还有涉及的一些技术是比较复杂的，往往这种犯罪嫌疑人想伪造二代身份证这种非接触式IC卡难度是比较大的。

然而，调查中记者了解到，在很多中小型移动通讯营业厅都没有有效识别身份证件真伪的设备。另外一个值得关注的环节是，犯罪嫌疑人到底是怎么获取王女士等人的个人信息的呢？

杨某说：个人信息是因为2013年3月份有一个网络泄密事件，通过泄密事件有一批客户的名单流传到网上了，他就通过那个事件在网上收集他们这批人的名单，在上面随机筛选的。据央视

作案过程：

篡改密码，登录支付宝

如果支付宝与手机号码绑定

补办客户的手机卡

伪造客户的身份证

从网上获取个人信息

成功转账