黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

90后小伙发现支付宝漏洞 自己编程两天“赚”百万终难逃法网

2018-4-15 07:02| 投稿: xiaotiger |来自: 互联网

摘要: 你们还记得过年期间铺天盖地的支付宝扫码领红包活动吗?每人每天可以领一次红包,但扫到后来也就一两毛钱,许多人觉得没意思。但浙江余姚90后小伙陈某却在短短两天时间内通过这个活动获得赏金90余万元,这到底是怎么 ...

你们还记得过年期间铺天盖地的支付宝扫码领红包活动吗?

每人每天可以领一次红包,但扫到后来也就一两毛钱,许多人觉得没意思。但浙江余姚90后小伙陈某却在短短两天时间内通过这个活动获得赏金90余万元,这到底是怎么一回事呢?

小伙利用漏洞 获得支付宝赏金90余万

2017年12月8日上午,待业在家的余姚90后小伙陈某参加了支付宝扫码领红包的活动,无意中发现了支付宝的一个漏洞:在某个支付宝页面中输入任意一个手机号码,支付宝后台服务器便会误以为是该手机号码绑定的支付宝扫了陈某的支付宝二维码,该手机号码的用户就会获得一个支付宝红包;只要该用户在使用支付宝时抵用了这个红包,陈某的支付宝账号便可以获得同等额度的赏金。

发现这个漏洞后陈某开始动起歪脑筋:曾经在职高读计算机专业的他编写了一套程序。这个程序可以通过穷举自动生成无数个手机号码,并且强行给这些手机绑定的支付宝账号发送红包,只要这些红包被消费抵用,陈某的支付宝就会获得赏金……

之后,赏金像滚雪球般越来越多短短两天时间陈某就获得了90余万元,发小结婚缺钱 他“慷慨”分享了赚钱路子,陈某持续用此方法敛财。

后来一次他得知自己的朋友李强(化名)快要结婚了,但经济上有困难,想到李强是一起长大的朋友,现在自己有了赚钱的路子不能眼睁睁地看着朋友整天无精打采,陈某就把程序送给了李强,并且告诉他在网吧挂机挣钱。

不明真相的李强还以为陈某给的是某款抢票软件,急需用钱的他照办了,没想到,果然能“赚钱”。李强的支付宝账户一下多出了20几万元,“老婆本”稳稳到手。

好兄弟双双被抓 本想帮忙却害了朋友

另一边,支付宝通过人工核查发现某些数据出现了异常,而相关用户的IP地址在余姚,立刻向余姚市公安局报案。随着案件调查深入,陈某慢慢浮出水面陈某被抓获后,交待了犯罪事实。最终他的“歪脑筋”不仅使自己身陷囹圄也害了好兄弟李强目前,公安机关已侦查完毕并以破坏计算机信息系统罪。向余姚市人民检察院移送审查起诉。

随着手机支付的普及,网络安全逐渐成为公众关注的话题。近些年,作为支付行业领先品牌的支付宝屡次曝出系统漏洞问题,让公众不得不对自己的账户安全产生担心。此前有报道称,用户在更新版本后,竟然可以不通过原登录密码、验证手机号等信息就可以直接登录页面,并设置新的登录密码。

这件事发生后,支付宝很快进行了系统维护。然而去年年初,支付宝再次曝出系统漏洞,用户发现可以通过在异处登录自己的账号,并通过一系列设置完成密码修改,期间原账户绑定手机不会收到任何提示。这样严重的漏洞极易造成转账、付款时的信息泄露。

不过好在这些问题发生后,都得到了及时的修复和处理。支付宝方面也表示,将会更大地投入人力和财力在维护信息安全上。事实上,信息社会已经改变了我们的日常生活,我们无可避免地要与手机打交道。那么如何维护好个人信息安全呢?

一、尝试关闭小额免密支付功能。具体操作为打开支付宝,在支付设置的免密支付项里打开小额免密支付,并将其功能关闭。这样,即便是不法分子修改了你的密码,也无法进行盗刷了。

二、支付大额资金时尽量选择银行转账。无论是余额宝还是支付宝账户余额,都不要存放大量的金额,毕竟就目前的情况而言,手机支付的稳定性仍无法完全保证。

三、不要绑定存有大量金额的银行卡,原因同第一点,还是为了避免不法分子通过技术手段获取你的账号并进行盗刷。

最后,网页登陆尽量避免自动登陆或者记住密码。现在的网站为了提升用户体验,基本都支持自动登陆或者记住密码功能,即便是自己的电脑,在自己家里,也尽量避免为了方便使用该功能。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部