支付宝社交存盗刷隐患 陌生人有1/5机会轻松登录你的支付宝

最近，蚂蚁金服可谓是陷入了风波大浪。在招财宝违约风波还未平静之时，支付宝再次陷入安全性质疑。据了解，在1月10日有用户爆出支付宝社交存盗刷隐患，熟人可轻松登录你的支付宝，而陌生人也有1/5机会可登录你的支付宝。这样听下去是不是很不安全？在多数用户质疑支付宝安全性之余，也把好友验证这种社交功能看做短板，喊话关闭支付宝社交功能。

支付宝社交存盗刷隐患

熟人可轻松“作案”

1月10日上午，一篇《网曝支付宝新漏洞：熟人可100%登录篡改你支付宝密码》的文章在市场上广为流传。据该文章披露，支付宝存在新漏洞：陌生人有1/5的机会登录你的支付宝，熟人则有100%的机会登录你的支付宝。

具体操作方法为，在“登录手机账号”环节选择“忘记密码”和“手机不在身边”，就可以绕开以短信验证码的方式进行验证；接下来，支付宝会提供一种熟人验证的选择，以“淘宝买过的东西9张图片选1个”和“好友验证9个好友图片选1个”来核验身份，只要选对就可以登录成功。

虽然有支付宝员工指出，选择图片时只能选择一次，选错就不能通过验证。但不少用户都反驳称，只要知道本人近期在淘宝买过的东西，以及有共同好友，就很容易完成，这样的验证方式安全性很低。加剧用户担忧的是，还有消息称，曾有用户在被熟人盗取了账号后，支付宝客服人员以“熟人作案，支付宝不予理赔”回应。

对此，1月10日上午，支付宝官微紧急回应称，通常情况下，用户找回登录密码至少需要输入手机短信验证码，只有对于部分暂时无法收到短信的用户或者更换移动设备的用户，风控系统才会先进行评估（比如账户信息完整程度、网络环境等因素），并在安全系数较高的情况下，才让用户回答一系列安全问题，只有在回答正确后，才能修改登录密码。

支付宝社交存盗刷隐患

随后，支付宝还补充表示，在接到网友反映后，支付宝已于10日上午进一步提高了风控系统安全等级。目前，仅在用户自己手机上才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式的。

业内人士建议关闭免密支付

对于“熟人作案 ，支付宝不予理赔”的说法，支付宝官方人士称这并不严谨。该人士表示，通常来说，只要是支付宝账户被盗刷，支付宝都会通过保险公司进行赔偿。另外，在实际生活中，熟人作案的可能性很低，非常容易被识破。

一位金融机构人士也对北京商报记者表示，陌生人1/5、熟人100%的两个概率过于夸张。这两个概率基于一个前提，即你的身边存在这么一个“坏人”且知道支付宝登录这个漏洞，这样他只要观察你最近买了什么东西就可以破解你的账户。

但身边存在这么一个“坏人”的概率并不大，其次，对方破解的只是登录密码而非支付密码，只能通过小额免密来盗窃小部分资金，更多的还是支付信息的泄露，实质财产损失的风险不大。