V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
pysama
V2EX  ›  程序员

吐嘈支付宝的“修改手机”

  •  
  •   pysama · 2015-08-12 22:41:36 +08:00 · 4573 次点击
    这是一个创建于 3423 天前的主题,其中的信息可能已经有所发展或是发生改变。

    话说支付宝一直是个人非常喜欢的一款应用,无论多少人吐嘈,我始终还是在内心支持的。经历了刚才一次恶心的“修改手机”的体验后,我真是无力吐嘈,只能告诫自己,以后能不用支付宝尽量不用支付宝。

    我的操作流程:

    • 登录 - 修改手机号 - 选择“通过原手机号接受短信校验码的方式来修改” -
    • 输入原手机验证码(通过) - 填写新手机号码并输入新验证码(通过) -
    • 当我点下一步的时候提示“系统异常,让我选择其他的方式验证身份”,如下图:

    alipaySysError

    很不开心,点击“重新选择验证方式”,支付宝提示我只能通过以下两种方式验证身份:重新绑定银行卡开通快捷支付 和 上传身份证扫描件之类的。

    咨询客服

    打支付宝客户电话,没有人工语音的选项(或许入口比较深,我没找到)。我就郁闷了,我明明有可以证明自己的正确身份的所有证据(手机校验码,安全问题等),为什么修改个手机号还要重新绑定银行卡或者上面身份证扫描之类的。

    继续寻找解决方案

    实在无奈,在网上随便搜索得知可以在支付宝App上进行修改,我打开App一看,还真有这个入口,点击修改手机,输入新手机号,输入新手机接受的验证码。尼玛直接就通过了。(我擦:尼玛这里难道不应该验证原手机吗?那不法分子盗取密码后修改绑定手机岂不是太便捷了!

    此时,我再刷新电脑上的支付宝页面。发现“支付宝-安全中心”页面的绑定手机已经显示为新手机号了;而“支付宝-账户管理”页面的手机依然还是旧手机号;写到这,离我修改手机号已经二十多分钟了,上述两个页面的数据依然是不同步的。这种用户敏感数据,难道不应该实时同步吗?

    重要的事情再提一遍

    • PC端无法通过原手机号更换新手机号
    • APP端居然不用验证原手机就能绑定新手机
    • 敏感数据的同步问题

    一个全国最大的第三方支付公司,一个我曾经一直非常信任的公司,这次实在让人太伤心了。我是个懒人,这次却打了这么多字,只是希望他能改进,做更优秀的产品。

    16 条回复    2015-08-14 20:52:28 +08:00
    imn1
        1
    imn1  
       2015-08-12 22:52:38 +08:00   ❤️ 1
    我觉得是手机已经被认为是你帐号的“常用设备”,所以权限很高
    虽然这样猜,这样说,但我依然无法理解支付宝的业务逻辑
    nopy
        2
    nopy  
       2015-08-12 22:53:44 +08:00   ❤️ 1
    的确有这个问题,https://qr.alipay.com/paipai/personal.htm 这里显示的还是我原来的手机号。
    orvice
        3
    orvice  
       2015-08-12 22:54:56 +08:00   ❤️ 1
    @imn1 支付宝现在的逻辑就是,你觉得不安全,买个「账户安全险」呗。。。。
    xcatliu
        4
    xcatliu  
       2015-08-12 23:03:00 +08:00
    以前修改手机号的时候也遇到过类似问题,最后问了客服之后,客服建议我用 Firefox 浏览器再来一遍,然后就成功了。
    imn1
        5
    imn1  
       2015-08-12 23:06:12 +08:00
    @orvice
    如果保险确实能赔付的话,我觉得黑产可以行动了
    如果不能赔付的话……那就没啥说的了

    我始终搞不清为什么会有“设备===人”这种逻辑,并且取得很高权限?
    就算google等等信任某个设备也是必须经操作人自己选择的,即使选择信任了某个设备,修改密码等操作还是要再次密码确认的
    lequiet
        6
    lequiet  
       2015-08-12 23:20:52 +08:00 via iPhone
    App和网页端是不同人做的。。
    感觉你网页端的操作在后台莫名异常了,不然不合逻辑了。。
    orvice
        7
    orvice  
       2015-08-12 23:27:18 +08:00
    @imn1 黑产+1

    安全其实没了那个还好啦。主要是隐身,随便被打开被别人知道支付宝都没钱多不好,还有就是天啊,你一个直男竟然在淘宝买XXX
    EchoChan
        8
    EchoChan  
       2015-08-12 23:47:30 +08:00 via Android
    支付宝app可以读取手机号码以及其它的手机信息,不用验证码也是可以的。
    Aoun
        9
    Aoun  
       2015-08-13 07:50:20 +08:00 via Android
    因为支付宝App识别出了你的手指按压面积和压力的变化,所以你可以直接修改手机 XD
    realpg
        10
    realpg  
       2015-08-13 08:59:10 +08:00
    @imn1
    后台风控系统而已
    参考免密支付

    你的手机处于你最常用的五个wifi下,地理定位处于你的常用范围,还结合一些其他参数,就给你个评级
    而且 如果你的sim卡写入了本机号码,他可以直接读取到你的本机号码。
    如果sim卡没有写入本机号码,以前曾经通过读取短信箱的方式直读到验证短信,他能读取到IMSI未变确定SIM卡未更换从而节约一次下发验证码成本

    就跟某个验证码系统 只需要你点一下checkbox一样,很多计算隐藏在你看不到的地方而已
    pysama
        11
    pysama  
    OP
       2015-08-13 09:52:45 +08:00
    @Aoun 额?aoun是说支付宝默认开启了指纹验证,所以就无需验证原手机了?
    pysama
        12
    pysama  
    OP
       2015-08-13 09:55:58 +08:00
    @realpg 我这次是手机和号码都更换了。

    @Aoun 另外之前是4s,也是不可能记录指纹的。
    fuxiaohei
        13
    fuxiaohei  
       2015-08-13 11:24:44 +08:00
    @orvice 你这是在歪楼的节奏哈哈,直男。。。。
    imn1
        14
    imn1  
       2015-08-13 12:24:50 +08:00
    @realpg
    Behavioral Analysis 不是这样做的,套郭德纲一句话,我算是“非著名”从业者,23333
    从多次&一连串行为可以归纳出一个人的行为特征 Profiling,但反向也需要一连串行为才能使用这个特征确定某个人,而单独的其中一个行为是不足以判断的,除非这个单独的行为足够独特而有别于他人
    自然人操作一个设备的行为,受限于设备的预设响应能力,特征行为极少,基本都是泛数据,最终能判断的还是设备而不是人,所以在相同/近似环境下,无生物特征数据的话,取得设备控制权的自然人是谁无从分辨,也就是我上面说的“设备===人”这个是伪判断
    Khlieb
        15
    Khlieb  
       2015-08-13 16:08:17 +08:00 via Android
    这服务安排的够脑残
    xuhaotian
        16
    xuhaotian  
       2015-08-14 20:52:28 +08:00 via iPhone
    你换张sim卡试试?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1044 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 19:49 · PVG 03:49 · LAX 11:49 · JFK 14:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.