支付宝熟人盗取密码真那么简单？

文|IT之家 仲平

近日，有网友曝出支付宝存在新漏洞——陌生人有五分之一的机会登录你的支付宝，而熟人则有百分之百的机会登录你的支付宝。按照网友的说法，漏洞的原理是这样的：登录手机账号——忘记密码——手机不在身边——淘宝买过的东西9张图片选1个——好友验证9个好友图片选1个——登录成功。这时就可以直接扫二维码付款不用密码。已有多位网友亲测，可以成功登录同事、朋友的支付宝账号。

支付宝迅速做出了回应称，“为了更好提升用户的安全感，在接到网友反映后，我们也进一步提高了风控系统的安全等级。目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。”

而IT之家的小编也拿出自己的支付宝账户亲自测试，发现支付宝提高了风控系统的安全等级之后，账户被盗基本上不太可能。而小浪在支付一笔巨额交易（200元……）的时候被提醒有风险，需要修改登录密码和支付密码，这一点上支付宝做的害死比较贴心的。

原文如下：

今天上午，一则骇人听闻的消息传来：你熟悉的人能够轻易通过支付宝的漏洞盗取你的登陆密码进行支付，对于某些消息传播不太迅速的社交圈，你很有可能在最近看到如下的几个标题：

《恐怖！熟人动动手指，你的支付宝所有余额不翼而飞》

《支付宝惊现高危漏洞！XX支付笑了》

《你的支付宝余额很有可能在你七大姑八大姨的掌控中》

当然以上文章对于广大习惯了标题党的网友来说肯定是见怪不怪了，不过由于支付宝在回应当中并没有针对这类更改密码的行为去除“识别好友以及购买商品”修改密码的方式，仅提升了风控等级。那么我们的支付宝真的安全了么？

需要在先说明的是，如果你因为这种方式被盗，那么支付宝的保险理赔有很大可能 不予理赔 ，原因在于这将被支付宝归结于 “熟人作案” ，不在理赔的范围。

由于支付宝到目前为止依然是不少网友消费支付的主要APP，下面小编就亲自测试一下，熟人盗取密码真有那么简单？

在支付宝的风控等级调整之后，之前曾经能够进行点击验证的部分手机已经不再提供这种方式，我们以不断缩小范围的策略来看一下，你究竟应该防住谁才能够避免你的支付宝被盗。

能够进入该界面的人，是能够获得你手机号码的人，这些人包括你身边的快递员、小偷等等等等。但是能够跳出点击验证的人则缩小到能够拿到你手机的人，也就是借你手机的朋友、亲人以及小偷等。

▲点击忘记密码之后出现的界面，仍然是任何人都能够点击

▲ 如果进入了这一界面则需要你点击你认识的好友，我们的家人、同事当然最有可能选对，但如果无法出现对应的好友，想要选对的概率是九分之一。

▲ 购买的商品方面，依然是同事与亲人更占“优势”，毕竟是他们帮你收包裹，即便不清楚，那么依然是九分之一的概率，两次同时蒙对的概率为1/81，约为0.0123457。当然对于熟人来说这个概率可能是1。