随着手机支付的日渐普及，支付宝等便捷的第三方支付大有替代银行卡、现金的趋势。但与此同时，风险也伴随而来。

1月10日凌晨，支付宝重大安全漏洞遭到网友曝光，个人支付宝账号可以被熟人百分之百成功登录。消息一经传出，立即引发全民关注。

对此，支付宝及蚂蚁金服安全中心同时回应，这一方式仅在特定情况下才会实现，10日上午已提高了风控系统的安全等级。

登录密码可被熟人篡改

根据网友爆料，支付宝存在一个新的漏洞，陌生人有1/5的机会登录你的支付宝，而熟人甚至100%可以登录你的支付宝。

具体原理是，熟人登录你的支付宝账号，选择“忘记密码”及“无法接收短信”，然后“在9张图片中选择1张你曾经购买过的产品图片”，在好友验证环节再“从9张图片中选择出1个好友”。上述“通关”完毕后，你的支付宝就能被熟人重置密码后登录，进而直接扫二维码付款使用免密支付了。

10日上午，经济导报记者用本人手机多次尝试登录同事支付宝，但均无法实现上述验证所买产品及识别好友的操作流程。经济导报记者登录他人支付宝账户选择找回密码后，会弹出“刷脸验证”、“验证银行卡信息”、“验证身份证”及“致电本人”等验证方式。

与此同时，经济导报记者尝试用本人手机登录自己的账户发现，在这种情况下，验证所买产品及识别好友的操作流程才会弹出。

虽然，经济导报记者的上述尝试并未核实网友的爆料，但因支付宝漏洞引发广泛关注，10日上午仍有部分媒体成功测试了网传的熟人信息登录漏洞。

有测试发现，支付宝的熟人验证基本有三种，分别是选择熟悉的Wi-Fi、淘宝购物信息、以及支付宝熟人信息。用这些信息来登录他人支付宝账号，尝试几次后确实可以成功设置新密码。

对此，10日中午，支付宝官微紧急回应安全漏洞事件。支付宝表示，在接到网友反映后，在当日上午提高了风控系统的安全等级。目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。

支付安全亟待完善

经济导报记者注意到，支付宝的回应似乎从侧面证实了网友所曝漏洞的真实性。换而言之，在支付宝10日上午提高风控系统安全等级前，支付宝是“支持”熟人作案的。

“这一方式仅在特定情况下才会实现。”10日中午，蚂蚁金服安全中心官微发布的《支付宝对于安全问题回复策略调整通知》首先验证了这一备受关注的新漏洞。

《通知》指出，通常情况下，用户找回登录密码至少需要输入手机短信验证码，对于部分暂时无法收到短信的用户或者更换移动设备的用户，支付宝的风控系统会先进行评估。在安全系数较高的情况下，才让用户回答一系列安全问题，回答正确后，才能修改登录密码。

需要注意的是，支付宝在线上支付中需要支付密码，但在当面扫码付款中没有防护手段。因此支付宝的小额免密支付也建议谨慎开启。此外个人支付宝账号中完整显示了个人的真实信息，不法分子也可通过求好友转账等方式进行诈骗。

蚂蚁金服安全中心也表示，一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。

对此，接受经济导报记者采访的业内安全专家提醒支付宝用户，若突然收到支付宝发来的验证码短信，提示有人尝试登录你的支付宝账号，可以立刻进入支付宝客户端，点击“我的设置”，在“账户与安全”一栏选择“安全中心”的“急救包”进行“快速挂失”处理。

而就在该漏洞曝出的前几日，支付宝刚刚发布了2016年的中国人全民账单。账单显示，2016年，全国有4.5亿实名用户使用了支付宝，71%的支付笔数发生在移动端。作为一款支付工具，在支付宝已经覆盖我们衣食住行方方面面的当下，其安全风控亟待完善。