网曝微信密码漏洞 图解破解步骤 共用一个账号密码易被盗号（图）
　　由于微博和微信等社交工具日益火爆，用户使用量迅速增加，仅微信用户就超过了2亿。而最近，用户反映这些社交工具账号被盗情况严重。最近在某网络论坛上有一位黑客，他自称通过利用微信账号安全的设置漏洞，成功地破解了马化腾等多位名人的微信账号，并公布了截图为证。　　&近期，在新浪微博上，用户反映“微信被盗号”的例子比比皆是。记者发现，这些微信用户被盗号的经历大多类似：某陌生人发过来一句话（里面往往包含了一个网址链接），然后让你进空间看看认不认识某某人，打开需要输QQ号和密码，一旦输入就中招，账号和密码迅速被对方盗取。　　无独有偶，最近在某网络论坛上有一位黑客，他自称通过利用微信账号安全的设置漏洞，成功破解了多位名人的微信账号，并公布为证。　　业界也称最近微信账号被盗情况严重。目前，由于微信好友大都来自QQ好友和手机通讯录，使用户对陌生人的警惕性降低，导致不法分子诈骗成功几率更高。此外，微信的特殊功能也间接为不法分子提供方便，如微信可以通过“查看附近的人”功能，很容易查找到几十个在1000米范围内的微信用户，实现“定位”。　　另一大社交工具“微博”被盗号已经不是什么新鲜的事情了。一些名人或普通微博用户，时常发现自己的微博会说些“莫名其妙的话”或者关注自己并没打算去关注的人。除了新浪微博，腾讯微博、搜狐微博等热门社交网络账号被盗的案例也时有发生。影响：　　利用微信要求亲友汇款 微博、微信等频频发生账号被盗事件，已经给用户们带来财物损失和烦恼。根据公安机关披露的案例，最近发现有团伙专门盗用微信账号，得手后，利用微信的通讯录和亲戚朋友要求对方汇款到国外，如果汇款者没有认真核实身份而轻易汇款，等到发现后已经晚了。　　另一大威胁是用户隐私的泄露，有专家指用户的安全防范意识不强。一些网民在使用微信和微博等社交网络时，习惯将自己的日常琐事、喜怒哀乐放到网上，包括各种图片和文字。尤其是外出旅游，微博或微信用户几乎是百分百要把自己的出行时间和旅程中的发现公布于众，而这些做法很可能带来安全上的巨大隐患，容易被人掌握去向和位置。　　此外，微博等账号被盗后也给用户带来很大麻烦，比如微博被盗号后会有很多别人用过的痕迹，需要时间来消除。&　　在前不久，有极客网友根据***采访周鸿?的视频拨号声，分析出了周鸿?的***号码。此事一经报道，立刻在社会中传播开来。极客探究和不留后患的做法甚至得到了社会各界的广泛认可。周鸿?得知后亲自抛出了橄榄枝。　　19日下午，有网友向本网提供消息，在WooYun 论坛又有一位极具实力的极客（黑客），他通过利用微信账号安全的设置漏洞，成功地破解了多为名人的微信账号，并公布为证。目前该极客已经成功破解了柳岩、马化腾的微信账号。不知他会不会得到马化腾的垂青呢？漏洞及破解具体过程如下：　　今天发现个微信群发的漏洞。还没玩。就被修补了。　　于是就有了这个漏洞的产生。　　同样问题产生在重置用户密码的环节。　　在微信官方的首页上发现新增了如下功能模块&微信重设密码在这个页面输入一个已经注册了微信的手机号。&重设密码过程界面&得到如下提示&重设界面选择我已收到验证码就跳转到一个修改密码的页面，如下&在这一步抓包。得到如下包文：将包文中的verifycode进行重复提交后发现会提示&这样的话。就要想办法去突破。经过一系列尝试后发现如果在phone=的号码后面添加不为数字的字符时，可以绕过此限制。于是推理出其判断方法如果phone=的尝试次数大于阀值，则提示请求过于频繁但在这一步之前没有对phone进行提纯。所以可以将特殊字符带入但在下一步的时候进行了提纯。只取了phone中的数字部分。然后在取出此号码的verifycode进行比对。比对成功则修改密码修改密码成功这个地方的薄弱环节在于微信重置密码的验证码为4-5位纯数字。且数字范围在之间也就是说。我只要尝试19000次。我用50个线程发包.3分钟即可成功修改一个密码。在发现此漏洞后。我修改了两个人的微信帐号。一个是最近很喜欢的明星柳岩的经纪人柳岩在微搏上公布了经纪人的手机号。成功修改进入后。通过微信自带的离线消息查看功能。可以成功查看其所有QQ好友于是得到了柳岩的QQ号。.但是拒绝添加好友了。.伤心这里由于隐私原因。就不上图了。另外一个是腾讯的某高管。我在百度上搜索到了腾讯高管的list然后通过list里的手机号修改了其密码。和尊敬的马化腾马大哥进行了一次亲密的交谈。由于夜深了。他不在线。所以没收到其回应。附图几张。&专家来支招1.绑定手机号码　　已绑定手机号或邮箱号的微信账号，可以找回密码。比如手机注册了，在微信软件登录页面点击“忘记密码”→通过手机号找回密码→输入注册的手机号，系统会下发一条短信验证码至手机，打开手机短信中的地址链接，输入验证码重设密码即可。2.不共用一个账号密码　　微博盗号的主要原因是目前可供用户使用的互联网服务很多，基本都通过用户邮箱注册。用户可能在不同的网站注册时，经常会使用相同的邮箱，并且设置相同的密码，这就可能出现一旦一个网站的密码被盗、多个网站的账号都被盗的现象。比如QQ号被盗了，微信号也就跟着一起被盗号了。3.不要轻易打开链接　　微博和微信上出现很多盗号木马程序,不要轻易打开发过来的网页链接，特别是在网页上要求输入账号和密码时就要万分警惕了，可能就是一个盗号程序。4.及时发现异常状况　　当微博或微信出现被发布或转发了广告信息；安全邮箱、微博资料信息、绑定手机被更改；密码被修改、无法登录；账号莫名关注了许多陌生用户；相册照片减少；账号存在异地登录等操作便已存在盗号风险，应及时与运营商联系。支付宝出现重大漏洞！官方最新回应来了 1月10日消息，今天凌晨，有网友爆料称支付宝可以更改别人的密码，甚至可以不用别人原密码直接用手机号就可以更改。 钱江晚报综合报道 2小时前 0
支付宝出现重大漏洞！,今天凌晨，有网友爆料称支付宝可以更改别人的密码，甚至可以不用别人原密码直接用手机号就可以更改。
&&1月10日消息，今天凌晨，有网友爆料称支付宝可以更改别人的密码，甚至可以不用别人原密码直接用手机号就可以更改。
&&小编亲测熟人登录支付宝，有难度，但的确可以测试成功。
&&1首先打开支付宝登录界面，输入朋友帐号后点击忘记密码。这时支付宝用户会收到验证码。
&&2.选择无法接收短信后，接下来的验证环节在我们的测试中出现了不同结果，验证用户信息方式可能是随机的，有的支付宝账号直接跳转通过银行卡信息验证的方式，这种验证方式比较安全，会有验证码发送到用户在银行预留的手机号码中，用户可以防范。
&&3.而有的则出现四种验证方式可供选择。
&&选择刷脸，失败。
&&4.选择回答相关问题。如果与朋友很熟悉，了解对方的购物选择和朋友的朋友姓名，那么这一关可以很轻易通过。
&&5.通过这一关后，提示可以重新更改密码。修改完密码后就可以直接登入账户，使用支付宝。
&&支付宝官方最新回应： 我们接到网友反映，称可以通过识别好友、识别近期购买物品，来找回支付宝登录密码。
&&这一方式仅在特定情况下才会实现。通常情况下，用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户，我们的风控系统会先进行评估（比如账户信息完整程度、网络环境等因素）。在安全系数较高的情况下，才让用户回答一系列安全问题，只有在回答正确后，才能修改登录密码。
&&这一策略只能找回登录密码，仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。
&&为了更好提升用户的安全感，在接到网友反映后，我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。
&&我们也欢迎用户继续对我们的安全策略提出意见和建议，我们会根据大家的反馈进一步完善和修正。
&&来源：钱江晚报记者 莫利萍 金远晴、网易科技、凤凰科技、新浪微博综合
编辑：未闻
扫码变身小作家
惊喜大礼抱回家
未来网为中央新闻网站&如有新闻线索请发至邮箱：
来源：新华网　 22:34
来源：中新网　 20:28
来源：光明图片　 10:17
来源：天山网原创　 16:59
来源：新华网　 21:01
来源：新华网　 20:34
版权所有：共青团中央网络影视中心信息网络传播视听节目许可证0105108号 京ICP备号-1
&&|&&&&|&&******：010-今天被“支付宝密码漏洞”刷屏了吧？另外一个密码更容易修改！全文共1099个字，阅读时间约需1.5分钟。今天凌晨有网友爆料支付宝存在安全漏洞“陌生人有机会登陆你的支付宝熟人则有百分之百的成功机会”想要更改别人的支付宝密码完全不费吹灰之力这么恐怖究竟是真是假呢？直播君决定亲测一番首先打开直播君自己的支付宝输入同事甲的支付宝账号点击“忘记密码”此时同事甲就会收到手机验证码验证码直播君肯定是收不到啦所以就直接选择“无法接收短信”这个时候就进入验证环节了不过验证用户信息的方式可能是随机的直播君在测试过程中是直接跳转到通过银行卡信息验证的方式不能选择其他验证方式验证如果不知道同事甲的银行卡卡号就没有办法继续了安全性难度相对高一点但是有的盆友们则会出现几种验证方式可供选择只要与朋友比较熟悉选择“回答与您有关的问题”这个验证方式这一个关卡回答两个问题就可以轻松通过了比如第一题回答“可能认识的一个人”第二题回答“一个与您有关的地址”两道题都答对了就可以进入下一步啦但是诸如此类的问题对于熟人来说简直就是小case而过了这关后不需要知道原账户密码就可以直接重新更改密码登录别人的支付宝了虽然部分支付比如网购付款、商店大额扫码等需要输入密码或者验证指纹但小额免密、面对面小额付款等仍可能成功出账而且支付宝账单还可以被删除支付密码可以用完整银行卡号修改支付宝里面的个人信息和隐私亦全部泄露而这个漏洞原理其实就是这样的：登录手机账号----忘记密码----无法接收短信----淘宝买过的东西9张图片选1个----好友验证9个好友图片选1个----修改密码----登录成功在消息被曝光后网上立马就炸了不少微博网友试过之后也都表示亲测有效！绝对不是谣言！一时之间各种求补救以及防范措施开始暴风式蔓延有的网友忍不住还开启了支付宝吐槽模式......但是玩笑归玩笑支付宝作为用户基数巨大的支付平台重视隐私保护还是关键针对此事支付宝今日中午正式作出回应称目前已经进行安全防控升级“仅在用户自己的手机上才能通过识别近期购买商品以及识别本人好友来找回登录密码”通过其他手机设备则无法完成一旦用户支付宝在其他设备被登录本人设备也会收到通知提醒全文回应如下↓↓↓虽然现在别人不能用他们的手机登录我们自己的支付宝了但是万一手机不小心被熟人拿去还是存在一定的风险的但是比起支付宝找回密码的漏洞好友通过你的手机找回淘宝APP的密码则更加易如反掌......如果亲朋好友或陌生人拿到你的手机（同一设备）打开淘宝APP选择“忘记密码”不需要短信或问题验证即可随时重置你的支付宝登录密码所以为了我们的账户安全除了平时要注意保管好自己的手机之外也要开启短信验证并随时留意如果收到异常短信比如收到验证码、提示在其他地点登陆等信息就要赶紧修改密码并提升账户安全也可以第一时间打开支付宝急救包将账户立即挂失怎么申请冻结支付宝账户？①手机登录支付宝，点击右下角【我的】，再点击【设置】②点击【安全中心】，选择【急救包】③点击【快速挂失】，确认【立即挂失】（直播广州综合南方都市报、BiaNews等报道）本文为头条号作者发布，不代表今日头条立场。