10日支付宝曝“熟人登录”漏洞 支付宝已提高风控系统安全等级

现在我们“脱离”了纸币时代。便捷的移动支付已经涵盖了我们衣食住行的方方面面。手机单部相关银行卡、CUAL(QR)代码支付、花梨限额等，虽然自己的支付很方便，但给“别人”的“便捷支付”留下了隐患！

10日凌晨，一位网民发表了一篇帖子，称支付宝存在新的致命漏洞。陌生人登录支付宝的机会是1/5，熟人甚至可以100%登录支付宝。

也就是说,如果别人知道最近你的购买记录、知道你的好友是谁,或者你设置的问题别人全部知道,就有可能通过这样的设定来修改支付宝的登录密码。

网友说法

登录手机账号-【忘记密码】-【手机不在身边】-淘宝买过的东西9张图片选1个-好友验证9个好友图片选1个-登录成功。这时就可以直接扫二维码付款不用密码。登录密码这么容易就被改？有网友也给出暂时的解决办法是：如果突然收到支付宝发来的验证码短信，提示有人尝试登录你的支付宝账号，大家可以立刻进入支付宝客户端，点击【我的】【设置】【安全中心】【急救包】【快速挂失】。

支付宝已提高风控系统安全等级

对于这一漏洞，昨天，支付宝进行了回应，表示通过识别好友、识别近期购买物品来找回支付宝登录密码，“仅在特定情况下才会实现”。支付宝称，通常情况下，用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户，风控系统会先进行评估（比如账户信息完整程度、网络环境等因素）。在安全系数较高的情况下，才让用户回答一系列安全问题，只有在回答正确后，才能修改登录密码。此外，支付宝还强调，回答安全问题等方式只能找回登录密码，但无法找回支付密码。同时，一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。

支付宝虽然没有在声明中承认漏洞，但也表示已经根据网友的反映，在1月10日上午提高了风控系统的安全等级：“目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的”。

小编实测

昨晚，小编进行了测试，点击忘记密码有两种选择，一、进行短信验证 二无法接受短信；找回登录密码时，除了身份验证，还包括已绑定银行卡信息验证、刷脸验证；“熟人验证”模式已经没有出现在登录密码的找回页面中了。

安全建议

1. 留意手机短信，及时挂失

此时你可以在【我的】-【设置】-【账户与安全】-【安全中心】-【急救包】中选择【快速挂失】

2. 购买支付宝账户安全险

在【我的】-【保险服务】中即可选择。

3. 调低花呗额度

将花呗额度从最高，调到你需要的额度，万一账号真的被盗，也能尽可能减少损失。

4.平时注意定期更换密码，减少在多平台使用同一密码。