重要: 部分应用内置的支付宝支付组件可能有身份验证漏洞，存在盗刷风险

重要:部分应用内置的支付宝支付组件可能有身份验证漏洞，存在盗刷风险原理:部分应用内置支付宝支付组件，可在用户无支付宝App环境下快捷付款，但该组件存在可被抓包劫持的问题，攻击者可通过流量抓包捕获验证码请求，并篡改短信获取手机号码实现验证码登录，但支付仍然需要支付密码才能成功支付漏洞级别:重要［需要用户注意］漏洞利用难度:一般［攻击者需要持有目标多项信息，但信息获取难度较低，虽然支付宝存在安全风控防护，但仍然存在被批量风险］注意:由于国内隐私问题，大量公民个人信息泄露，攻击者非常容易凑齐大量公民的手机号码，户主名称以及身份证号码，加上用户习惯性的将自己生日或某账号等设置为自己的六位数支付密码，攻击者非常容易实现批量碰撞盗刷由于支付组件会缓存用户登录信息方便快捷付款。所以登录状态可能会出现被长时间缓存至攻击者设备内，但每次付款仍然需要输入支付密码，但更改支付密码并不能将所有设备踢出支付状态。攻击者在获取登录状态过后，可持续性的查看账号内的金额，绑定卡片等一系列私密信息处置建议:更改自己支付宝支付密码，尽量不要使其与自己身份产生关联，采用随机六位数字，避免使用生日等重要日期，开启支付宝通知权限，及时获取支付消息，确保每一笔支付由本人支付注意:由于支付宝存在安全支付风控措施，所以攻击者只能尝试进行小额支付，用户需注意自己账户是否出现密集的小额扣款及未知小额扣款

支付宝微信好友转账功能上线 传递支付“互通”良性信号

支付宝微信好友转账功能上线传递支付“互通”良性信号日前，“支付宝已支持给微信QQ好友转账”话题登上微博热搜。记者测试发现，支付宝App已支持向微信好友转账，但并非“互扫互认”式打通，该功能更像是支付宝的一次产品创新，旨在提升用户使用体验。支付宝客服表示，“支付宝中的‘转账-转微信好友’功能是响应部分用户需求推出的常规功能。”...PC版：https://www.cnbeta.com/articles/soft/1328583.htm手机版：https://m.cnbeta.com/view/1328583.htm

支付宝×B站高危漏洞，弱密码盗刷支付宝

支付宝×B站高危漏洞，弱密码盗刷支付宝图1漏洞文字说明（具体思路、潜在危害、防护措施）视频1采用不抓包方式登录支付宝账号13081851006（赵泽成）并进行小额支付，成功视频2采用抓包方式登录支付宝账号18649652996（陈靖宇）视频3使用支付宝账号18649652996（陈靖宇）进行大额支付，失败视频4支付宝账号18649652996（陈靖宇）后续修改该账号密码，登录状态仍然存在小编：B站你在干什么？转载请注明频道@Vzhibei

支付宝：外国朋友来中国可刷支付宝 只需2步

支付宝：外国朋友来中国可刷支付宝只需2步在支付宝上绑定境外银行卡后，就能在全国使用。不论是去线下店消费还是打车坐地铁，全部都能在手机上完成。这意味着来自全球的运动员、游客都能够简单快捷地使用支付宝在中国旅居。据支付宝官方介绍，境外用户使用支付宝流程与国内用户一致。第一步下载安装注册支付宝，第二步绑定境外银行卡，目前已经支持主流的境外银行卡组织发行的银行卡，如Visa、Mastercard、DinersClub、Discover等。而在使用上也与国内用户同步，在可以用支付宝消费的地方都能用。据了解，2020年11月支付宝在国内首个获批“境外用户支付方案”。支付宝方面表示，为了让境外用户在中国享受更好的移动支付体验，将持续优化产品与服务。...PC版：https://www.cnbeta.com.tw/articles/soft/1372211.htm手机版：https://m.cnbeta.com.tw/view/1372211.htm

支付宝再战社交，内测“兴趣社区”功能

支付宝再战社交，内测“兴趣社区”功能支付宝于近期内测一项名为“兴趣社区”的社交功能，定位是发现有趣找到玩伴，用户可以在社区内体验潮酷生活，结识同频兴趣玩伴。目前，该功能还处于内测阶段。这是支付宝继2016年推出“圈子”后，又一次尝试社区形态的社交服务。但相比此前的“圈子”功能，兴趣社区的玩法更加多样，且更契合当下最火的搭子社交，通过兴趣作为纽带，有助于用户之间寻找到社交共同点。不光是支付宝，对于不少互联网平台而言，难啃的“社交”依旧是一个充满诱惑的业务。消息来源:星球财经

央行：要求和指导支付宝、财付通优化业务流程，提高境外银行卡绑卡效率

央行：要求和指导支付宝、财付通优化业务流程，提高境外银行卡绑卡效率一是针对来华人员使用支付宝、微信绑定境外银行卡成功率低的问题，要求、指导支付宝、财付通优化业务流程，提高绑卡效率。二是简化身份验证安排，使外籍来华人员在绑卡等一系列过程中更便捷办理。也非常关注个人信息保护的问题，会严格要求相关机构落实《个人信息保护法》等法规规定，切实保护个人信息安全。三是指导支付宝、财富通等主要支付机构将外籍来华人员使用移动支付的单笔交易限额由1000美元提高到5000美元、年累计交易限额由1万美元提高到5万美元。https://www.thepaper.cn/newsDetail_forward_26519528线索：@ZaiHuabot投稿：@TNSubmbot频道：@TestFlightCN