每月的5、6、7日都是支付宝账单出账清还的时间点,很多人如今工资刚到手还没捂热,就又立马要转出去偿还账单了!
支付宝账单已出,你的花呗、借呗还清了吗?还完账单赶紧看看自己微信账单余额,还能不能供黑客入侵盗取资金让别人免费买买买了?
7月3日,国外安全社区 Seclists.Org 一名白帽子披露了微信支付官方SDK存在严重的 XXE 漏洞。该漏洞可导致商家服务器被入侵,黑客可避开真实支付通道,用虚假的支付通知来购买任意产品。陌陌、vivo 已经验证被该漏洞影响。攻击者可以向通知URL构建恶意payload,根据需要窃取商家服务器的任何信息。换句话说,黑客利用微信支付的这个漏洞,能实现0元买买买的情况。该用户还晒出了如何利用漏洞进行买买买的截图,利用这个漏洞,黑客不仅可以0元购买,还有倒卖用户信息的可能。
微信、支付宝都是实名认证的社交软件。可以说,如今人们的生活早已离不开它们,而以支付宝的芝麻信用为例,要提升自己的芝麻分享受更多的服务,诸如借呗、花呗、生活号拼拼小样、微信订阅号聚能袋等等的金融借贷服务,都需要较高的芝麻分。而提高自己的芝麻分就包括要提交自己的学历认证、工作信息、住址、驾照等等一系列的隐私信息,只有你提供的资料越完善,芝麻分才可能越高。试想,一旦这样的软件出现漏洞、遭遇黑客而导致了信息泄漏,其对每个用户的影响无疑都是巨大的!
展开全文
据BaCde透露,由于微信官方的SDK有问题,目前所有使用基于微信支付JAVA?SDK开发的微信支付功能都可能受影响。
腾讯对媒体表示,微信支付技术安全团队已第一时间关注及排查XXE漏洞,并于7月3日中午对官方网站上的SDK漏洞进行更新,修复了已知的安全漏洞。
时刻注意自己的微信信息,收到短信轰炸的用户要注意。
大家对此有什么看法,欢迎留言讨论!