支付寶設定存漏洞 盜刷氾濫
中共18屆三中全會後,江澤民的老巢上海被曝8億多元的騙稅案;近日,官媒又曝光了阿里巴巴集團的支付寶手機存在漏洞,也就是在手機上使用第三方支付時,僅需一個「帳戶名稱+驗證碼」便可重置密碼,用戶手機帳戶裡的錢也就「莫名」被轉走。
此前,由於港交所不接受阿里巴巴「黑箱操作」的「合夥人制度」,阿里巴巴在香港上市失敗。而阿里巴巴28個「合夥人」中有前黨魁江澤民孫子江志成,現任中共政治局常委劉雲山兒子劉樂飛等紅色權貴。有消息稱,涉江澤民兒子、江綿恆的巨大貪腐案正在調查。
驗證碼大盜氾濫 多人被盜刷
今年10月以來,多家陸媒報導,不少用戶帳戶裡的錢「莫名」被轉走,顯示支付安全隱憂。在手機上使用第三方支付,僅需一個「帳戶名+驗證碼」便可重置密碼,這是個驚天漏洞。
報導稱,金山反病毒工程師李鐵軍此前便抓到一款色情軟體,能自動攔截「手機驗證碼」,他很疑惑,它用這個功能要幹什麼。到了10月,木馬樣本越來越多,幾乎已成災。
據李鐵軍介紹,他發現20個木馬作者的電子信箱,裡面記錄著大量的盜刷紀錄,木馬攔截簡訊後,直接把它們轉發到木馬作者信箱。內容多是受害者的身分證、手機號碼等,還有一些驗證碼紀錄,比如重置密碼、開通快捷銀行、付款。
支付寶手機支付方式存在嚴重漏洞
「修改密碼」一直是支付安全的核心環節,歷來被銀行重視。手機流行的同時,為簡化環節推出「快捷支付」,在「修改密碼」部分,銀行仍堅守辦理門檻;而第三方支付修改密碼卻只需「用戶名+驗證碼」,這更意味著木馬一旦獲知帳戶名即知密碼,在推出手機綁定服務後,目前絕大多數用戶已將帳戶與手機號碼綁定,更增加了盜用風險。
據李鐵軍介紹,目前研究的樣本中,木馬獲取密碼的唯一方式就是以找回密碼為由修改新密碼。大致過程為:「淘寶買家」向賣家發送二維碼,對方掃瞄後會彈出一個頁面:「網路突然中斷,需要您填寫下帳戶名」,中招後,「買家」跟支付寶申請「我忘記密碼」,支付寶會發送「手機驗證碼」確認,「買家」用木馬把它攔截,轉發到自己信箱,之後盜刷支付寶便如探囊取物。
巨大利益令紅色權貴側目
據外媒報導,阿里巴巴28個「合夥人」中有前黨魁江澤民孫子江志成,現任中共政治局常委劉雲山兒子劉樂飛等紅色權貴。
其實,江志成看上的是「支付寶」這一網路金融業。《亞洲週刊》報導稱,阿里巴巴的支付寶註冊用戶數破8億,每日最高交易額超過200億元,再加上阿里巴巴的「餘額寶」以及天弘基金推出貨幣基金「增利寶」,「三寶」 合一的收益和金融業務擴張空間無限。
阿里巴巴在香港上市遭阻擊,據悉是由於中共黨魁習近平與香港特首梁振英談話時,得到習的暗示,不能為了江澤民的孫子修改上市規定,從而未得到通過。
另據消息人士透露,江澤民的長子、江志成的父親江綿恆已經被中紀委鎖定,涉江綿恆的巨大貪腐案正在內部調查。也有傳聞說,上海市委書記、江派人馬韓正將被調離上海,若屬實,意味著習近平三中全會徹底「攻陷」上海,江派將面臨徹底失勢,江澤民的兒子江綿恆在上海的黑幕也將會被層層揭開。◇