支付宝安全漏洞 通过“购物记录、认识的人”找回密码

今天上午，支付宝再次被曝出安全漏洞：陌生人有1/5的机会登录你的支付宝，而熟人100%可以登录你的支付宝，甚至可以不用原密码直接用手机号就可以更改。

对此，支付宝官方刚刚给出回应：这一方式仅在特定情况下才会实现。且一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。

此外，支付宝表示，在今天上午接到网友反映后，我们也进一步提高了风控系统的安全等级。目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。

对于这次的漏洞，移动安全专家是怎么看的呢？

猎豹移动安全工程师@李铁军 亲自测试并尝试还原支付宝熟人改密码漏洞，他表示，这次安全问题的关键是“常用设备的验证”被意外绕过了，至少系统应该知道本次登录是“常用设备”、“新设备”、还是“偶尔登录的设备”。每一种登录情形，用不同的验证方式。

此外他还透露：“我的支付宝里好友只有LP一个，不会添加任何人为支付宝好友，也绝不会拿支付宝做社交工具。余额永远为0，余额宝一年的收益好象不到5块钱。支付宝对我来说就是个交易通道，从不担心被盗怎么办。”

李铁军强调，如果与支付相关的应用可以在任意设备重置而不要求提供充分信息的情况下，安全风险就存在。

所以，一切便捷支付跟安全风险是相伴的。支付有风险，还需小心谨慎。