今日凌晨，有消息稱支付寶存在一個(gè)新的漏洞：陌生人有1/5的機(jī)會(huì)登錄你的支付寶，而熟人甚至100%可以登錄你的支付寶。

按照漏洞提示，只需四步熟人即可登錄并篡改你支付寶密碼：1、打開支付寶登錄界面，輸入帳號(hào)后點(diǎn)擊忘記密碼;2、輸入帳號(hào)后直接點(diǎn)無法接收短信;3、驗(yàn)證方式選擇熟人驗(yàn)證;4、更改密碼。

今晨10點(diǎn)左右，有用戶在發(fā)現(xiàn)漏洞后嘗試過一次，成功過一次，直接可以進(jìn)入掃碼付款階段、也能成功修改密碼。一臺(tái)手機(jī)修改一次后就不會(huì)再顯示“熟人驗(yàn)證”模式。

截至到11點(diǎn)時(shí)，“熟人驗(yàn)證”模式已經(jīng)沒有出現(xiàn)在登錄密碼的找回頁面中了。目前只能通過“刷臉驗(yàn)證”、“驗(yàn)證本人銀行卡信息”、“撥打驗(yàn)證電話”三種方式找回登錄密碼。對(duì)方賬號(hào)暫時(shí)是安全的(請(qǐng)勿輕易模仿)。

螞蟻金服向記者表示：

我們接到網(wǎng)友反映，稱可以通過識(shí)別好友、識(shí)別近期購(gòu)買物品，來找回支付寶登錄密碼。

這一方式僅在特定情況下才會(huì)實(shí)現(xiàn)。通常情況下，用戶找回登錄密碼至少需要輸入手機(jī)短信驗(yàn)證碼。對(duì)于部分暫時(shí)無法收到短信的用戶或者更換移動(dòng)設(shè)備的用戶，我們的風(fēng)控系統(tǒng)會(huì)先進(jìn)行評(píng)估(比如賬戶信息完整程度、網(wǎng)絡(luò)環(huán)境等因素)。在安全系數(shù)較高的情況下，才讓用戶回答一系列安全問題，只有在回答正確后，才能修改登錄密碼。

這一策略只能找回登錄密碼，僅通過回答安全問題并無法找回支付密碼。且一旦用戶支付寶在其他設(shè)備被登錄，本人設(shè)備會(huì)收到通知提醒。

為了更好提升用戶的安全感，在接到網(wǎng)友反映后，我們于今日上午進(jìn)一步提高了風(fēng)控系統(tǒng)的安全等級(jí)。目前僅在用戶自己的手機(jī)上，才能通過識(shí)別近期購(gòu)買商品以及識(shí)別本人好友來找回登錄密碼，通過其他手機(jī)設(shè)備是無法應(yīng)用這一方式找回登錄密碼的。

我們也歡迎用戶繼續(xù)對(duì)我們的安全策略提出意見和建議，我們會(huì)根據(jù)大家的反饋進(jìn)一步完善和修正。

這已經(jīng)不是支付寶第一次出現(xiàn)安全問題了。

2016年4月，《我用十天追回支付寶盜刷25000元的奇葩經(jīng)歷》一文受到關(guān)注。文中詳細(xì)描述了該用戶被盜刷的經(jīng)歷，并收到了支付寶官方的回復(fù)。

與此次事件相關(guān)聯(lián)的是，如果支付寶方面判定是“熟人作案”，是不在理賠范圍之內(nèi)的。你所買購(gòu)買的賬戶安全險(xiǎn)可能并沒有任何作用。而此次賬戶被盜正是利用了支付寶的熟人關(guān)系。

有意思的是，在知乎網(wǎng)友爆料中，有一位阿里員工稱，“這個(gè)問題我10幾天前就在內(nèi)網(wǎng)反饋過了，后來支付寶的人解釋了一下情況沒大家想的那么糟，據(jù)說是有環(huán)境判斷的。”

他所指的環(huán)境判斷是，同一mac地址登陸的支付寶賬戶可以驗(yàn)證登錄環(huán)境、還有登錄密碼。該員工稱，“所以即使盜了最多刷走點(diǎn)小額，以及搞個(gè)朋友圈行騙之類的。關(guān)于‘小額’：【我的】=>【設(shè)置】=>【支付設(shè)置】=>【免密支付】=>【小額免密支付】，可以調(diào)額度，也可以關(guān)掉。”

個(gè)人的支付寶賬戶除了綁定的銀行卡外，還有花唄、借唄等互聯(lián)網(wǎng)金融產(chǎn)品。提醒大家，如果收到支付寶發(fā)來的驗(yàn)證碼短信，說明有人嘗試登錄你的支付寶賬號(hào)，請(qǐng)立刻進(jìn)入支付寶客戶端，點(diǎn)擊【我的】→【賬戶】→【設(shè)置】→【安全中心】→【急救包】→【快速掛失】，阻礙任何人登錄你的賬號(hào)，并且阻止資金的轉(zhuǎn)入轉(zhuǎn)出。

在此，希望廣大網(wǎng)友都能提高警惕！