今早（10日），關(guān)于“熟人可重置支付寶密碼”的消息引爆網(wǎng)絡(luò)。

有網(wǎng)友爆料稱“支付寶存在一個新漏洞，陌生人有機會登錄你的支付寶，熟人有100%的機會登錄你的支付寶�！�

網(wǎng)絡(luò)支付已滲透進大多數(shù)人的生活當中，網(wǎng)絡(luò)支付賬號的安全讓所有人極為重視。這個漏洞是真的嗎？

南都君（微信公眾號：nddaily）今早10時許進行了測試。在征得朋友（測試時不在同一網(wǎng)絡(luò)環(huán)境中）同意的情況下，南都君嘗試用朋友手機登陸支付寶APP，第一步選擇“忘記密碼”。

支付寶自動給朋友發(fā)去了驗證信息，如網(wǎng)友所述漏洞，第二步選擇“無法接收短信”。

然后出現(xiàn)了以下三種找回密碼的方式，并無法通過選擇最近購買的物品及好友來重置密碼。重置密碼失敗。

而此時朋友則收到了支付寶發(fā)去的驗證碼提示。

今早不少朋友的測試結(jié)果都相同。

所以網(wǎng)友所爆的漏洞是謠言？并不是。

今早11時許，南都記者的支付寶賬號，被同在辦公室的同事用網(wǎng)友所爆方法成功登陸……

在輸入手機號并選擇“忘記密碼”后，找回方式出現(xiàn)“回答與您有關(guān)的問題”。

選擇后會出現(xiàn)兩道選擇題，第一題，選擇買過的東西。

南都君登陸自己手機號找回密碼示意圖，同事嘗試步驟與此相同。

第二題，選擇一個可能認識的人。

南都君登陸自己手機號找回密碼示意圖，同事嘗試步驟與此相同。

兩個問題都答對，就可以成功重置登錄密碼了。

南都君登陸自己手機號找回密碼示意圖，同事嘗試步驟與此相同。

南都記者表示，同事剛好知道她最近買了手機殼、選擇“認識的人”則剛好是另一位同事，因此順利答對兩個問題，成功到達重置密碼一步。

微博上一些大V也表示親測成功，南都君一位在互聯(lián)網(wǎng)企業(yè)工作的朋友也同樣表示，她的同事昨夜今晨親測，確實成功到了可修改密碼那一步。兩人經(jīng)常在公司用同一WiFi，但她并沒有在朋友的手機上登陸過自己的支付寶賬號。

親測成功用手機號登陸朋友支付寶賬號。

快科技、新浪科技等媒體也成功使用網(wǎng)友所爆漏洞登陸。微博上不少網(wǎng)友也紛紛表示確實可以……

熟悉網(wǎng)絡(luò)支付的朋友對南都君表示，登陸他人支付寶后，雖然部分支付（比如網(wǎng)購付款、商店大額掃碼等）需要輸入密碼或驗證指紋，但小額免密、面對面小額付款等仍可能成功出賬。

螞蟻金服回應(yīng)：

已改進，提高了風控系統(tǒng)安全等級

今日（10日）上午，針對上述情況，螞蟻金服方面對南都記者回應(yīng)稱，目前已經(jīng)進行改進。提高了風控系統(tǒng)的安全等級。目前僅在用戶自己的手機上，才能通過識別近期購買商品以及識別本人好友來找回登錄密碼，通過其他手機設(shè)備是無法應(yīng)用這一方式找回登錄密碼的。

回應(yīng)全文——

這一方式僅在特定情況下才會實現(xiàn)。通常情況下，用戶找回登錄密碼至少需要輸入手機短信驗證碼。對于部分暫時無法收到短信的用戶或者更換移動設(shè)備的用戶，我們的風控系統(tǒng)會先進行評估（比如賬戶信息完整程度、網(wǎng)絡(luò)環(huán)境等因素）。在安全系數(shù)較高的情況下，才讓用戶回答一系列安全問題，只有在回答正確后，才能修改登錄密碼。

這一策略只能找回登錄密碼，僅通過回答安全問題并無法找回支付密碼。且一旦用戶支付寶在其他設(shè)備被登錄，本人設(shè)備會收到通知提醒。

為了更好提升用戶的安全感，在接到網(wǎng)友反映后，我們也進一步提高了風控系統(tǒng)的安全等級。目前僅在用戶自己的手機上，才能通過識別近期購買商品以及識別本人好友來找回登錄密碼，通過其他手機設(shè)備是無法應(yīng)用這一方式找回登錄密碼的。

我們也歡迎用戶繼續(xù)對我們的安全策略提出意見和建議，我們會根據(jù)大家的反饋進一步完善和修正。

有互聯(lián)網(wǎng)從業(yè)人員表示這屬于P0級漏洞并給出了一些補救方式——

而有朋友進一步向南都君爆料稱，除了支付寶找回密碼漏洞外，好友通過你的手機找回淘寶APP密碼更易如反掌……

如果親朋好友或陌生人拿到了你的手機（同一設(shè)備），打開淘寶APP，選擇“找回密碼”，不需要短信或問題驗證，即可隨時重置密碼……

最后南都君來小結(jié)一下發(fā)生了什么……

1、他人通過“購物記錄、認識的人”找回密碼的漏洞確實曾存在；

2、支付寶表示已對安全防控進行升級，目前僅可在自己常用設(shè)備使用“購物記錄、認識的人”找回密碼，其他設(shè)備修改密碼登陸后會收到短信提示；

3、其他人可以在你的手機上任意修改你的淘寶APP密碼……

我們要注意和做什么……

1、保管好自己的手機；可以看到，很多互聯(lián)網(wǎng)公司的安全防控都與操作設(shè)備相關(guān)，如果你的手機借給別人或棄用、丟失，請隨時注意賬戶安全；

2、開啟短信驗證并隨時留意；在前面的操作中，南都君多次提示收到短信，想說明的是他人進行的這些操作，對用戶來說并不是全盲的，只要收到異常短信（收到驗證碼、提示在其他地點登陸），趕緊修改密碼并提升賬戶安全；

3、賬戶安全險自行考慮，如果發(fā)現(xiàn)異常登錄、異常交易，第一時間打開支付寶急救包——

找回密碼的多種體驗可以理解，但網(wǎng)絡(luò)詐騙、盜刷頻現(xiàn)的今日，讓網(wǎng)絡(luò)支付環(huán)境更私密、更安全才能贏得更多用戶。希望經(jīng)過今早這次“全民黑客”事件，各大網(wǎng)絡(luò)支付、交易平臺都能進一步審視自家一系列的安全防控措施，讓用戶放心。