今早(10日)，关于“熟人可重置支付宝密码”的消息引爆网络。

有网友爆料称“支付宝存在一个新漏洞，陌生人有机会登录你的支付宝，熟人有100%的机会登录你的支付宝。”

网络支付已渗透进大多数人的生活当中，网络支付账号的安全让所有人极为重视。这个漏洞是真的吗?

南都君今早10时许进行了测试。在征得朋友(测试时不在同一网络环境中)同意的情况下，南都君尝试用朋友手机登陆支付宝APP，第一步选择“忘记密码”。

支付宝自动给朋友发去了验证信息，如网友所述漏洞，第二步选择“无法接收短信”。

然后出现了以下三种找回密码的方式，并无法通过选择最近购买的物品及好友来重置密码。重置密码失败。

而此时朋友则收到了支付宝发去的验证码提示。

今早不少朋友的测试结果都相同。

所以网友所爆的漏洞是谣言?并不是。

 

今早11时许，南都记者的支付宝账号，被同在办公室的同事用网友所爆方法成功登陆……

在输入手机号并选择“忘记密码”后，找回方式出现“回答与您有关的问题”。

选择后会出现两道选择题，第一题，选择买过的东西。

南都君登陆自己手机号找回密码示意图，同事尝试步骤与此相同。

第二题，选择一个可能认识的人。

南都君登陆自己手机号找回密码示意图，同事尝试步骤与此相同。

两个问题都答对，就可以成功重置登录密码了。

南都君登陆自己手机号找回密码示意图，同事尝试步骤与此相同。

南都记者表示，同事刚好知道她最近买了手机壳、选择“认识的人”则刚好是另一位同事，因此顺利答对两个问题，成功到达重置密码一步。

微博上一些大V也表示亲测成功，南都君一位在互联网企业工作的朋友也同样表示，她的同事昨夜今晨亲测，确实成功到了可修改密码那一步。两人经常在公司用同一WiFi，但她并没有在朋友的手机上登陆过自己的支付宝账号。

亲测成功用手机号登陆朋友支付宝账号。

快科技、新浪科技等媒体也成功使用网友所爆漏洞登陆。微博上不少网友也纷纷表示确实可以……

熟悉网络支付的朋友对南都君表示，登陆他人支付宝后，虽然部分支付(比如网购付款、商店大额扫码等)需要输入密码或验证指纹，但小额免密、面对面小额付款等仍可能成功出账。

蚂蚁金服回应：

已改进，提高了风控系统安全等级

今日(10日)上午，针对上述情况，蚂蚁金服方面对南都记者回应称，目前已经进行改进。提高了风控系统的安全等级。目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。

拿到了你的手机(同一设备)

有互联网从业人员表示这属于P0级漏洞并给出了一些补救方式——

而有朋友进一步向南都君爆料称，除了支付宝找回密码漏洞外，好友通过你的手机找回淘宝APP密码更易如反掌……

如果亲朋好友或陌生人(((10)))，打开淘宝APP，选择“找回密码”，不需要短信或问题验证，即可随时重置密码……

 

最后南都君来小结一下发生了什么……

1、他人通过“购物记录、认识的人”找回密码的漏洞确实曾存在;

2、支付宝表示已对安全防控进行升级，目前仅可在自己常用设备使用“购物记录、认识的人”找回密码，其他设备修改密码登陆后会收到短信提示;

3、其他人可以在你的手机上任意修改你的淘宝APP密码……

我们要注意和做什么……

1、保管好自己的手机;可以看到，很多互联网公司的安全防控都与操作设备相关，如果你的手机借给别人或弃用、丢失，请随时注意账户安全;

2、开启短信验证并随时留意;在前面的操作中，南都君多次提示收到短信，想说明的是他人进行的这些操作，对用户来说并不是全盲的，只要收到异常短信(收到验证码、提示在其他地点登陆)，赶紧修改密码并提升账户安全;

3、账户安全险自行考虑，如果发现异常登录、异常交易，第一时间打开支付宝急救包——

找回密码的多种体验可以理解，但网络诈骗、盗刷频现的今日，让网络支付环境更私密、更安全才能赢得更多用户。希望经过今早这次“全民黑客”事件，各大网络支付、交易平台都能进一步审视自家一系列的安全防控措施，让用户放心。（南都君综合　南都记者陈颖南方都市报官方微博、微信、南都app）