吓人一跳的支付宝密码漏洞

小刀马

在网上购买《拜年》邮票的时候，进行支付宝支付，突然提示支付存在风险，要求修改支付宝的登录密码和支付密码等等。心中还纳闷为何会出现这种情况？很快就看到新闻称，支付宝存在着密码漏洞。

据悉，有网民曝出支付宝存在新漏洞，也就是陌生人有五分之一的机会登录你的支付宝，而熟人则有百分之百的机会登录你的支付宝。据悉，漏洞的原理是这样的：登录手机账号——忘记密码——手机不在身边——淘宝买过的东西9张图片选1个——好友验证9个好友图片选1个——登录成功。这时就可以直接扫二维码付款不用密码。

很快，支付宝方面回应称这一方式仅在特定情况下才会实现。且一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。通常情况下，用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户，我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下，才让用户回答一系列安全问题，只有在回答正确后，才能修改登录密码。

支付宝还表示，在接到网友反映后，我们也进一步提高了风控系统的安全等级。目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。显然，支付宝在安全风控方面之前的确存在着一定的风险，才被人发现的，只能说支付宝及时根据用户的反应，进行了安全风控等级的调整，而不见得就是“仅在特定情况下才会实现”。

近年来，网购和移动支付非常火爆，人们利用手机支付以及其他的消费机会也越来越多，在很多时候，我们都可以通过支付宝钱包、微信支付等来完成最终的支付，如果安全等级不能得到充分的保障，那么用户造成的损失最终算谁的？

据支付宝发布的数据，现在其实名用户有4.5亿。过去一年71%的支付笔数发生在移动端；中国“千禧一代”80后、90后已经成为中国经济的主流力量，比如80后人均支付金额已超过12万元，90后使用移动支付比例达91%。此外，数据还显示，中国大学生在支付宝上的人均支付金额（含转账、网购消费、发红包、理财等数据）约为40839元，较2015年增长97%。同时，还有很多年轻人选择购买余额宝或者通过支付宝进行理财、投资、炒股等等。移动互联网普及之后，理财产品越来越受年轻人的重视。当我们对一个产品的依赖度越来越强之后，那么安全性就会成为首当其冲的重要保障，如果达不到安全保障水准，那么就必须进行提升，否则给用户带来的损失也会成为产品被诟病的焦点。

-----------------------------

（作者简介：小刀马，微信公众号：daomawuyu（刀马物语）。微信：daomawuyu99。转载烦请保留此段。）

（本文系TechWeb博客作者原创，未经允许不得转载。本文仅代表作者观点，不代表本站立场。）