支付宝曝重大安全漏洞 回应称已提高风控安全等级

配图

今日有网友发现了支付宝的一个致命漏洞，他人熟知你的支付宝个人信息后可以通过“找回密码”功能登录并篡改支付宝密码。支付宝方面回应称，这一方式仅在特定情况下才会实现，目前已进一步提高了风控系统的安全等级。

截图

网上流传的方法是，在打开支付宝登录界面，输入帐号后点击忘记密码，在重置登录密码中选择无法接受短信，然后通过个人信息验证即可“重置登录密码”。其中个人信息可能是识别好友、识别近期购买物品、真实姓名和身份证号等。

小编已经用该方法，绕过密码登录，进入了两个支付宝帐号。

支付宝在线上支付中需要支付密码，但在当面扫码付款中没有防护手段。此外个人支付宝账号中完整显示了个人的真实信息，不法分子也可通过求好友转账等方式进行诈骗。

以下是支付宝方面的回应：

我们接到网友反映，称可以通过识别好友、识别近期购买物品，来找回支付宝登录密码。

这 一方式仅在特定情况下才会实现。通常情况下，用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户，我们 的风控系统会先进行评估（比如账户信息完整程度、网络环境等因素）。在安全系数较高的情况下，才让用户回答一系列安全问题，只有在回答正确后，才能修改登 录密码。

这一策略只能找回登录密码，仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。

为了更好提升用户的安全感，在接到网友反映后，我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。

我们也欢迎用户继续对我们的安全策略提出意见和建议，我们会根据大家的反馈进一步完善和修正。