支付宝惊现重大漏洞 称熟人可篡改密码

支付宝惊现重大漏洞 称熟人可篡改密码

【口播】说起支付宝，相信大家都不陌生，随着淘宝的兴盛，支付宝越来越成为大家支付的主要方式之一，支付宝的安全问题也颇受大家关注，最近，有网友爆料，支付宝竟然有重大漏洞，怎么回事呢?去看看。

【解说】1月10日早上，一则关于“熟人可以篡改你支付宝密码”的消息在网络流传。有网友称可通过购物验证、好友验证等方式修改他人支付宝登录密码。按照网友的说法，支付宝的漏洞原理如下：通过支付宝APP登录——选择“忘记密码”——选择“手机不在身边”——这时支付宝会让你选择“淘宝买过的东西”(9张图片选1个)——“你可能认识的人”(9个好友选1个)——只要选择对就可以重置密码了。经过实测，发现只要对一个人的购物习惯以及他的圈子比较熟悉的，按照上述操作的确可以很快破解，然后重置密码。不过，根据选择图片的验证操作，陌生人破解支付宝密码的机会并没有1/9那么高，实际为1/81。但若为熟人操作，则账户被登录的成功率极高。

一时间，网友对此议论纷纷，都担心自己的账户是否安全，为了验证网友的说法，记者尝试通过朋友的手机登录自己的支付宝，在输入手机号后选择重置登录密码，期间支付宝会发送验证码信息至登录手机号。但除了电讯校验码之外，其他找回的方式有“验证本人银行卡信息”“拍摄脸部”、“手机验证码+快捷支付银行卡验证”、“手机验证码+证件号码”、“遇到问题，点此获取帮助”等五种方式，并未出现购买商品验证和好友识别等程序。随后，记者又通过自己的手机进行上述操作，在近期购买的东西中，系统出现了12张物品的照片，成功勾选用户购买过的商品后，就进入了设置新密码环节，可以重新设置密码了。

由于网络舆论比较沸腾，支付宝对此回应称目前已提高风控系统的安全等级，为了更好提升用户的安全感，目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。

对于网友所说的漏洞问题，支付宝称：这一方式仅在特定情况下才会实现。通常情况下，用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户，风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下，才让用户回答一系列安全问题，只有在回答正确后，才能修改登录密码。而且这一策略只能找回登录密码，仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。针对此说法，有网友吐槽了支付宝的“付款”功能，该功能无须输入支付密码，只需商家扫描支付宝二维码即可实现上限一千元的小额支付。网友呼吁在商家扫码之后，多一个手机输入密码确认的环节。

对此，我们建议暂时先关闭支付宝的免密支付功能，安全专家表示，因为存在一些用户在找回密码时，会遇到无法收到短信等情况，在这种情况下通过安全问题进行验证，在业内确实较为常见，用户不必过于惊慌。此外，支付宝密码分为登录密码和支付密码，就算登录密码被重置，支付密码也不会受到影响，用户资金安全还是可以得到保障。专家表示，保障账户安全最重要的还是消费者的自我保护意识。比如，要保管好账号、密码和网盾，不要轻易向他人透露证件号码、账号、密码等；认清网站网址，避免陷入钓鱼网站的圈套；确保计算机系统和手机安全，定期下载并安装最新的操作系统和浏览器安全补丁。

直播民生记者报道　侯祥燕