央視曝光支付寶找回密碼有漏洞 錢款被轉走

　　央視新聞頻道《東方時空》欄目播出了《支付寶找回密碼功能有漏洞賬號安全受威脅》。央視節目稱，因為此前一次支付寶泄密事件導致的信息泄漏，不法分子以此尋找受害人信息，通過找回密碼來獲得用戶支付寶訪問權限，從而將支付寶的錢款轉走。

　　以下是節目文字實錄：

　　主持人：根據犯罪人的介紹，他們掌握了當事人的姓名、手機號碼和身份證號碼這些信息之后呢，就能通過支付寶來盜取這些人的銀行卡內的存款，首先犯罪嫌疑人是根據事先從網上獲取的當事人的個人信息偽造假的身份證，然后再利用假身份證補辦一張當事人的手機卡，如果當事人的支付寶和這個手機號綁定的話，那么犯罪嫌疑人就能易如反掌的登陸當事人的支付寶賬戶，通過支付寶賬戶將當事人銀行卡內的存款轉走。

　　犯罪嫌疑人究竟怎么樣登陸當事人的支付寶賬戶呢?我們接著往下看。

　　解說：支付寶有一個找回密碼功能，用戶一旦忘記密碼可以使用這個功能設置新密碼，而正是這個為了方便用戶的功能給不法分子留下了可乘之機。

　　記者按照嫌疑人的說法在自己的電腦上進行了驗證，記者打開支付寶登陸頁面之后點擊忘記登陸密碼選項系統彈出找回登陸密碼頁面，在輸入用戶名和驗證碼后，頁面上出現了兩種找回方式，記者選擇了系統推薦的通過手機驗證碼加證件號碼的方式進行找回。很快手機上就收到了一條驗證碼短信。

　　不過系統提示，要想找回支付寶密碼還必須輸入個人身份證號碼，當校驗碼和身份證號碼都輸入正確后，就可以為支付寶重新設置密碼，進入支付寶后，記者又用相同的方法重新設置了支付密碼，這樣就可以成功完成轉賬等操作了。

　　但是，像王女士這種情況，一旦手機號碼，身份證號碼同時被泄露，帳號的安全性就會受到威脅。

　　崔寶江(北京郵電大學計算機學院副教授)：除了相關的一些手機驗證碼，還可以增加第三重的，比方說電子郵件驗證，第四重的包括相關安全問題的一些驗證，二代身份證里邊都有一個非接觸式IC卡，這個IC卡呢它制造的成本還有相關涉及到一些技術是比較復雜的，往往這種犯罪嫌疑人想偽造二代身份證這種非接觸式IC卡難度是比較大的。

　　解說：然而，調查中記者了解到，在很多中小型移動通訊營業廳都沒有有效識別身份證件真偽的設備。另外一個值得關注的環節是，犯罪嫌疑人到底是怎么獲取王女士等人的個人信息的呢?

　　楊某(犯罪嫌疑人)：個人信息是因為今年(2013年)3月份有一個網絡泄密事件，通過泄密事件有一批客戶的名單流傳到網上了，我就通過那個事件在網上收集他們這批人的名單，在上面隨機篩選的。