高俊福的北京新闻地图

网友称熟人可通过好友验证修改他人登录密码，支付宝称已提升安全级别

新京报讯（记者 陈鹏 李明）支付宝被曝存在“熟人漏洞”，昨日上午，有网友称可通过购物验证、好友验证等方式修改他人支付宝登录密码。支付宝昨日中午回应称已修改。目前，用户只能在自己手机上通过识别近期购买的商品、识别自己的好友等方式找回登录密码，无法通过其他移动设备通过此方式找回登录密码。

购物识别和好友识别漏洞已被封堵

1月10日上午，有网友自称发现了“支付宝新漏洞”，称“陌生人有五分之一的几率登录你的支付宝，熟人有百分之百的几率登录你的支付宝”。据其描述，在选择登录手机账户时，选择“忘记密码”，点击“我的手机不在身边”，然后勾选自己在淘宝上购买的一件商品，再选择好友的图片进行验证，即可成功登录。

对于上述方法，昨日有用户在微博上表示，自己用自己的手机重置了朋友的密码，成功“黑”了账户。多家媒体也报道了自己用这种方法修改熟人的支付宝密码。

临近中午，记者通过朋友的手机尝试登录自己的支付宝账户，输入手机号后，选择重置登录密码。在此期间，支付宝向登录手机号发送了验证码。但除了电信验证码，还有其他找回密码的方式，一共有“回答密保问题”、“人脸验证”、“验证个人银行卡信息”、“拨打验证号码”四种，并无购买验证、好友身份确认等程序。

随后，记者在手机上进行了上述操作，在好友识别中，系统显示出9个人的照片，成功勾选“我认识的人”后，即可进入购物验证环节，从商品图片中查看用户购买过的商品后，新密码设置成功。

支付宝昨日下午通过官方微博回应称，今天上午已提升风控系统安全级别，目前用户只能通过自己手机上识别近期购买商品和好友找回登录密码，无法通过其他移动设备找回，请使用此方式找回登录密码。

小额支付无密码遭网友批评

支付宝上述漏洞昨日在网络上引发热议，有网友在支付宝官方微博下评论称“关注支付宝，而不是社交！”截至发稿时，该评论已获得2142次阅读量，针对此条评论，支付宝回应称：“你说得对。”

不过，对于“熟人漏洞”，支付宝表示，只在特定情况下有效，“正常情况下，用户至少需要输入短信验证码才能找回登录密码。对于部分暂时收不到短信或者更换手机号的用户，可以输入验证码找回密码。对于移动设备用户，我们的风控系统会先进行评估。”

支付宝称，只有在安全系数较高的情况下，才会要求用户回答一系列安全问题，然后更改登录密码。针对这一说法，有网友表示，“你看，被盗的概率很小，但一旦发生，对我们来说就很严重了，百分之百。”

此外，支付宝称，“该策略只能找回登录密码，单靠回答安全问题无法找回支付密码。”针对此说法，有网友吐槽支付宝的“支付”功能，该功能无需输入支付密码，商户只需要扫描支付宝二维码，就能进行千元以下的小额支付。

不少网友也表达了类似的担忧，比如呼吁商家扫码后增加输入手机密码确认的步骤。

■ 提示

移动支付“安全险”热销

新京报记者注意到，随着支付安全问题频发，保障账户安全的保险成为热销产品，目前各大保险公司推出的信用卡欺诈险保额都差不多，保额5万元的，10万元甚至100万元的信用卡欺诈险保费往往在几毛钱到几十元不等。

以凤凰金融的“一账通”险为例，该险种可保障个人名下第三方支付账户及银行卡资金安全，全年无限额赔付。最低保费48.88元，年度保额10万元。333.88元保费，年度保额最高可达100万元。报案、提交理赔相关材料，保险公司检查审核后，赔款将在一个工作日内到账。

一位保险工作人员告诉记者，账户安全险作为意外情况的补充，花少量钱买一份安心是个不错的选择。但需要注意的是，各类产品的赔偿条件各不相同，消费者在购买前一定要仔细阅读相关赔偿条款。最好选择保障范围更广、更明确的账户安全险，这样在索赔时才能分清界限，及时获得赔偿。

专家表示，保障账号安全最重要的是消费者的自我保护意识。比如，妥善保管账号、密码和网盾，不要轻易向他人透露自己的***号、账号、密码等；认清网站网址，避免陷入钓鱼网站陷阱；保障电脑系统和手机安全，定期下载安装最新的操作系统和浏览器安全补丁。（王全浩 杨莉）

问题 1

找回密码是否存在风险或者漏洞？

在网友**他人能通过购物信息、好友身份登录用户账户后，支付宝随即回应称，这两种方式目前只能在用户自己的手机上找回密码。

有用户担心这种验证方式在与熟人互动、分享消费信息时存在漏洞。

上海财经大学副教授曹晓表示，“互联网强调用户体验，以前注册时的一些问题可能都记不住，为了方便，用户不愿意输入各种数字，直接选择就行。”

曹晓认为，支付宝作为支付工具，特别希望用非常便捷的方式去优化用户的各项体验，但在给客户提供便利的同时，也要考虑是否足够安全。

“金融服务的目的是为了保障大家的安全，提升金融消费者的体验。”中央财经大学中国银行业研究中心主任郭田勇表示，金融支付机构要在风险和效率之间找到平衡点，通过购买商品等方式登录支付宝后，应该还有其他风险识别手段，但用户却没有察觉到。

问题 2

免密码支付会被利用吗？

针对今日有网友称，熟人登录用户支付宝账户后，可扫码支付，无需支付密码的问题，新京报记者从蚂蚁金服相关人士处了解到，使用非本人的其他设备登录支付宝账户后，即可使用免密码支付方式，支付也会要求先输入交易密码。

“一般来说，如果手机没有妥善保管，密码被他人更改，安全性就很难保证。”曹晓认为，密码被他人更改登录后，比如有些支付是不用密码的，包括商户扫码，支付安全就难谈。

不过他也表示，免密码支付的问题可能不是什么大问题，“因为大部分都是小额支付。”他表示，支付工具可以通过控制金额、适当限量的方式，在安全性和便捷性之间做出妥协，是一种比较好的方式。

对此，有网友表示，免密支付的上限是1000元，而且是单次支付，还是需要更安全的支付方式。

问题 3

“秀订单”是否会给熟人提供可乘之机？

支付宝在不断嵌入各类消费场景的同时，也在不断尝试社交化，一些用户通过支付宝购物后，也会分享自己的消费体验。

昨日支付宝两种验证方式被曝光后，有用户担心在支付宝朋友圈发订单会给信息泄露提供出口，甚至有声音反对支付宝社交化。

曹晓表示，当用户的消费行为暴露后，个人信息泄露的可能性更大，而一些验证方式不够安全。“随着越来越多的人使用电子支付方式，对支付安全的要求和挑战更大。不可能事先知道所有的漏洞，也没有100%绝对安全的验证方式。这是一个正常且可预见的挑战。”

他认为，支付方式和社交平台绑定得越多，安全性就越低。但绑定得越多，使用的场景就越多，使用起来越方便，但对技术的要求也更高。从这个角度看，支付工具提供商做得还不够。”