昨天口令红包再次失败,但是钓鱼成功了。22:04分发出200个口令红包,一直无人领取。直到在微信公众号分享口令后,红包很快被领完。具体数据如下:
领取速度还是非常迅速的,红包领取完以后,我看了公众号阅读量是11次,有效阅读至多10个。
今天笔者比较无聊,或者说支付宝客服没有给出满意的答复(固执),笔者认为支付宝口令红包有缺陷,让不法分子非法获利了,但是支付宝不承认,且不愿意修补漏洞。受限于笔者并非计算机专业出身,无法开发相关的程序、软件直接来攻击支付宝口令红包的漏洞,虽然我非常想这么做。
但是,笔者有理论知识,可以通过证据罗列、合理推断,验证出是否存在异常。
笔者将3月29号第一次发现口令红包领取异常后,将领取红包的用户名和大致账户(无法看到全部账户名)都罗列出来了,如下图:
其中的一些信息各位应该能够看明白,我已经用颜色标注出来了。
同样的,我再将7月13号,19秒钟抢完100的口令红包数据罗列如下:
两幅图各位对比下可以同时发现,不仅用户昵称有重复的,账户名更是有大批相似度很高的,大概率是批量注册的。如果仅仅通过上述两次间隔超过3个月的口令红包分别展现出的账户名,你已经发现每一批次里面都有很多相似度很高的账户。如果将二者联系起来,将展现出更加令人震惊的一面。
我将抢第二次口令红包的账户和抢第一次红包的账户进行对比,发现抢了第一次红包的43个账户中,有34个领取了第二次口令红包。也就是说第一次抢红包的账户中至少79%(34/43)的账户有专业抢红包的嫌疑。
因此,我们可以看到,每次领取口令红包的账户中存在大量批次注册的账户;在不同次领取口令红包的过程中,有大量账户多次重复出现。所以,即使剔除红包口令的不可控性,支付宝口令红包仍然存在漏洞,但是支付宝从未承认, 更未采取措施弥补漏洞。
,
