被曝“熟人漏洞” 支付寶無密碼小額支付遭吐槽

新京報制圖/高俊夫

新京報訊 （記者陳鵬 李明）支付寶被曝出現(xiàn)“熟人漏洞”。昨日一大早，有網(wǎng)友稱可通過購物驗證、好友驗證等方式修改他人支付寶登錄密碼。支付寶昨日中午回應稱已經(jīng)修改，目前僅在用戶自己的手機上，才能通過識別近期購買商品以及識別本人好友來找回登錄密碼，通過其他手機設備無法應用這一方式找回登錄密碼。

購物識別、好友識別漏洞已堵

1月10日上午，有網(wǎng)友聲稱發(fā)現(xiàn)“支付寶新漏洞”，“陌生人有5分之一的機會登錄你支付寶，熟人有百分之百機會登錄你的支付寶”。按其描述，在選擇登錄手機賬號時，選擇忘記密碼，并點擊手機不在身邊，然后勾選在淘寶中買過的一件東西，再選擇一位好友圖片進行驗證，便可以成功登錄。

對于上述方法，昨日有用戶在微博上稱，用自己手機去重置朋友的密碼，結果成功“盜號”。還有多家媒體稱按照該方法實現(xiàn)了對熟人支付寶密碼的修改。

臨近中午記者嘗試通過朋友的手機登錄自己的支付寶，在輸入手機號后選擇重置登錄密碼，期間支付寶會發(fā)送驗證碼信息至登錄手機號。但除了電訊校驗碼之外，其他找回的方式有“回答安全問題”、“刷臉驗證”、“驗證本人銀行卡信息”、“撥打驗證電話”等四種方式，并未出現(xiàn)購買商品驗證和好友識別等程序。

隨后，記者又通過自己的手機進行上述操作，在好友識別中，系統(tǒng)則出現(xiàn)了9張人物的圖片，成功勾選“認識的人”便可進入購物驗證環(huán)節(jié)。與上一流程類似，在9張商品圖片中勾選用戶購買過的商品后，成功設置了新密碼。

支付寶昨日中午通過官方微博回應稱，上午已提高風控系統(tǒng)的安全等級，目前僅在用戶自己的手機上，才能通過識別近期購買商品以及識別本人好友來找回登錄密碼，通過其他手機設備無法應用這一方式找回登錄密碼。

無密碼小額支付遭網(wǎng)友吐槽

對于支付寶出現(xiàn)上述漏洞，昨日引發(fā)網(wǎng)絡熱議。有網(wǎng)友在支付寶官方微博上評論，表示“好好做支付寶，別做社交！”至記者截稿該評論得到了2142個點擊。對此評論，支付寶回應稱：“你說得對”。

不過，對于“熟人漏洞”，支付寶方面表示，僅在特定情況下才會實現(xiàn)。“通常情況下，用戶找回登錄密碼至少需要輸入手機短信驗證碼，對于部分暫時無法收到短信的用戶或者更換移動設備的用戶，我們的風控系統(tǒng)會先進行評估。”

支付寶表示，在安全系數(shù)較高的情況下，才讓用戶回答一系列安全問題，然后修改登錄密碼。對此說法，有網(wǎng)友稱，“你們看被盜是很小的概率，但是一旦發(fā)生對我們來說就是百分之百”。

此外，支付寶表示，“這一策略只能找回登錄密碼，僅通過回答安全問題并無法找回支付密碼”。針對此說法，有網(wǎng)友吐槽了支付寶的“付款”功能，該功能無須輸入支付密碼，只需商家掃描支付寶二維碼即可實現(xiàn)上限一千元的小額支付。

不少網(wǎng)友也表示類似的擔憂，比如呼吁在商家掃碼之后，多一個手機輸入密碼確認的環(huán)節(jié)。

■ 小貼士

移動支付“安全險”熱銷

新京報記者注意到，隨著支付安全問題頻頻爆發(fā)，保障賬戶安全類的保險也成了熱銷產(chǎn)品。目前，各大保險公司推出的盜刷險保障范圍大同小異，保額在5萬元、10萬元甚至100萬元的盜刷理賠險，保費往往從幾角錢到幾十元不等。

以鳳凰金融的壹賬保為例，該保險可保個人名下第三方支付賬戶及銀行卡資金安全，全年不限次賠付，最少的花48.88元保費全年保障額度為10萬元，花333.88元保費全年保障額度可高達100萬元。在理賠時報案、遞交相關材料申請理賠、保險公司查勘審核通過之后，一個工作日之內(nèi)賠款可到賬。

某保險工作人員告訴記者，賬戶安全險作為意外情況的補充，花小錢買放心是個不錯的選擇。不過需要注意，各種產(chǎn)品賠付條件各不相同，消費者在購買前一定要仔細研讀相關賠付條款。最好選擇保障范圍更廣更明確的賬戶安全險種，在理賠時就能很清楚地劃定界限，及時獲得賠償。

專家表示，保障賬戶安全最重要的還是消費者的自我保護意識。比如，要保管好賬號、密碼和網(wǎng)盾，不要輕易向他人透露證件號碼、賬號、密碼等；認清網(wǎng)站網(wǎng)址，避免陷入釣魚網(wǎng)站的圈套；確保計算機系統(tǒng)和手機安全，定期下載并安裝最新的操作系統(tǒng)和瀏覽器安全補丁。（王全浩 楊礪）

追問1

找回密碼是否存風險漏洞？

在網(wǎng)友曬出他人能夠通過購物信息和好友識別登錄用戶賬號后，支付寶立即回應這兩種方式目前僅能在用戶自己的手機上找回密碼。

有用戶擔心，這種驗證方式在熟人交往和消費信息分享的情況下，存在漏洞。

上海財經(jīng)大學副教授曹嘯表示，“互聯(lián)網(wǎng)講究用戶體驗，以前登記的一些問題可能記不住，用戶為了圖方便，也不愿意輸各種號碼，直接選擇就好了。”

曹嘯認為，作為支付工具，從支付寶來說，特別希望用一個很方便的方式來優(yōu)化各種用戶體驗，但在為客戶提供便利性的時候，也要考慮夠不夠安全。

“金融服務的目的是讓大家保證安全，同時提升金融消費者的體驗”。中央財經(jīng)大學中國銀行業(yè)研究中心主任郭田勇表示，金融支付機構要在風險與效率之間尋找一種平衡，他人在通過購買過的商品等方式登錄支付寶后，應該還有其他的風險識別手段，但用戶沒有注意到。

追問2

免密支付是否會被利用？

針對今日網(wǎng)友聲稱的熟人登錄用戶支付寶后，掃碼支付便不用支付密碼的疑問。新京報記者從螞蟻金服相關人士處了解到，在使用別的非本人設備登錄支付寶賬戶后，使用免密支付也會先要求輸入交易密碼。

“通常講，手機如果保存不好，密碼被別人修改了，安全性就很難保證”。曹嘯認為，密碼被別人修改登錄后，比如有些支付是免密支付，包括商家掃碼，支付安全就不好談。

不過，他也表示，免密支付的問題可能不是很大，“因為大多是小額”。他表示，支付工具可以通過金額控制、情景適當限制，在安全和便利性之間做一個折中，是一個比較好的方式。

對此有網(wǎng)友表示，免密支付的上限是1000元，且是單次支付，還是需要更安全的支付手段。

追問3

“曬單”為熟人漏洞提供便利？

在支付寶不斷嵌入各種消費場景的同時，在社交方面也不斷進行嘗試。通過支付寶進行消費后，有的用戶也會隨手分享自己的消費體驗。

在昨日支付寶兩項驗證曝出后，也有用戶擔心支付寶好友圈曬單會為泄露信息提供出口，甚至有聲音反對支付寶做社交。

曹嘯表示，用戶的消費行為等暴露出來后，有增加泄露個人信息的可能，有些驗證方式就不夠安全了。“當大家越來越多使用電子支付的方式，對支付安全的要求和挑戰(zhàn)更高，在事前不可能了解所有的漏洞，不存在100%絕對安全的驗證方式，這是很正常、可預見的一次挑戰(zhàn)。”

他認為，把支付方式和社交平臺綁得越多越不安全，但綁得越多，運用的場景會越多，用起來更方便，但對技術提出更高的要求。“讓客戶發(fā)現(xiàn)問題，從這個角度來說，支付工具提供者做得不夠。”