今日凌晨，有消息稱支付寶存在一個新的漏洞：陌生人有1/5的機會登錄你的支付寶，而熟人甚至100%可以登錄你的支付寶。

按照漏洞提示，只需四步熟人即可登錄并篡改你支付寶密碼：1、打開支付寶登錄界面，輸入帳號后點擊忘記密碼;2、輸入帳號后直接點無法接收短信;3、驗證方式選擇熟人驗證;4、更改密碼。

今晨10點左右，有用戶在發(fā)現(xiàn)漏洞后嘗試過一次，成功過一次，直接可以進入掃碼付款階段、也能成功修改密碼。一臺手機修改一次后就不會再顯示“熟人驗證”模式。

截至到11點時，“熟人驗證”模式已經(jīng)沒有出現(xiàn)在登錄密碼的找回頁面中了。目前只能通過“刷臉驗證”、“驗證本人銀行卡信息”、“撥打驗證電話”三種方式找回登錄密碼。對方賬號暫時是安全的(請勿輕易模仿)。

螞蟻金服向記者表示：

我們接到網(wǎng)友反映，稱可以通過識別好友、識別近期購買物品，來找回支付寶登錄密碼。

這一方式僅在特定情況下才會實現(xiàn)。通常情況下，用戶找回登錄密碼至少需要輸入手機短信驗證碼。對于部分暫時無法收到短信的用戶或者更換移動設(shè)備的用戶，我們的風控系統(tǒng)會先進行評估(比如賬戶信息完整程度、網(wǎng)絡環(huán)境等因素)。在安全系數(shù)較高的情況下，才讓用戶回答一系列安全問題，只有在回答正確后，才能修改登錄密碼。

這一策略只能找回登錄密碼，僅通過回答安全問題并無法找回支付密碼。且一旦用戶支付寶在其他設(shè)備被登錄，本人設(shè)備會收到通知提醒。

為了更好提升用戶的安全感，在接到網(wǎng)友反映后，我們于今日上午進一步提高了風控系統(tǒng)的安全等級。目前僅在用戶自己的手機上，才能通過識別近期購買商品以及識別本人好友來找回登錄密碼，通過其他手機設(shè)備是無法應用這一方式找回登錄密碼的。

我們也歡迎用戶繼續(xù)對我們的安全策略提出意見和建議，我們會根據(jù)大家的反饋進一步完善和修正。

這已經(jīng)不是支付寶第一次出現(xiàn)安全問題了。

2016年4月，《我用十天追回支付寶盜刷25000元的奇葩經(jīng)歷》一文受到關(guān)注。文中詳細描述了該用戶被盜刷的經(jīng)歷，并收到了支付寶官方的回復。

與此次事件相關(guān)聯(lián)的是，如果支付寶方面判定是“熟人作案”，是不在理賠范圍之內(nèi)的。你所買購買的賬戶安全險可能并沒有任何作用。而此次賬戶被盜正是利用了支付寶的熟人關(guān)系。

有意思的是，在知乎網(wǎng)友爆料中，有一位阿里員工稱，“這個問題我10幾天前就在內(nèi)網(wǎng)反饋過了，后來支付寶的人解釋了一下情況沒大家想的那么糟，據(jù)說是有環(huán)境判斷的。”

他所指的環(huán)境判斷是，同一mac地址登陸的支付寶賬戶可以驗證登錄環(huán)境、還有登錄密碼。該員工稱，“所以即使盜了最多刷走點小額，以及搞個朋友圈行騙之類的。關(guān)于‘小額’：【我的】=>【設(shè)置】=>【支付設(shè)置】=>【免密支付】=>【小額免密支付】，可以調(diào)額度，也可以關(guān)掉。”

個人的支付寶賬戶除了綁定的銀行卡外，還有花唄、借唄等互聯(lián)網(wǎng)金融產(chǎn)品。提醒大家，如果收到支付寶發(fā)來的驗證碼短信，說明有人嘗試登錄你的支付寶賬號，請立刻進入支付寶客戶端，點擊【我的】→【賬戶】→【設(shè)置】→【安全中心】→【急救包】→【快速掛失】，阻礙任何人登錄你的賬號，并且阻止資金的轉(zhuǎn)入轉(zhuǎn)出。

在此，希望廣大網(wǎng)友都能提高警惕！