聚焦|支付宝曝出惊天BUG，不知密码也可在线支付

也许你会觉得，给自己的手机加上指纹/图形/Pin码等各种保护之后，FBI也解不开iPhone（虽然最后被黑客破解，但一般人还真拿它没办法），就算是Android手机想要解锁也并不容易，看似可以用刷机精灵等工具一键解锁，但是也必须在手机端打开USB调试，并且在已经授权连接过的电脑才能执行该操作。

小偷或者捡到手机的人，就算进入Recovery模式执行双清，或者用其他“暴力”方式刷机，那样也会完全清空手机里的数据，自己的资料就算拿不回来，也不至于被盗。所以，为手机加锁是必须的，可别图省事，完全不设防。

但是，手机里的资料安全，云端的账号可就不一定了。正如前面所说，支付宝、微信等都“贴心”地提供了手机号登录功能，然后小偷完全使用密码找回功能，用手机收取短信，而需要用到的工具仅仅是一根取卡针，甚至是随处可见的牙签！为此，小编模拟了这样的场景，“以身犯险”，用自己的账号进行了一次模拟测试。

不少刷机、ROOT等工具都提供了找回锁屏密码功能，但必须是以前授权连接过的电脑才行

苹果的iCloud以及许多国产第三方ROM都提供了远程抹掉数据功能，但还是保不住SIM卡

取卡，插入另一台手机，这个步骤没有任何难度，然后随便拨打一个号码，就可以从来电显示看到SIM卡号（手机系统设置里也能看到）。而支付宝很“贴心”的提供了手机号登录功能，在登录时选择忘记密码，然后通过手机接收验证码——这时候你的SIM卡在小偷手机上，他可以随意操作！

经过测试，从拿到手机号到通过密码找回并成功登录支付宝，整个过程连1分钟都不到，而现在，用户个人信息、账户余额、余额宝、历史账单等完全暴露在小偷面前，在账户信息中，还能看到淘宝会员名（同样可以用手机号登录，然后看到你的消费记录）。

可以说，支付宝里的隐私完全曝光了，相信大家都已经吓到了吧，那么，现在还有一个疑问，我们的钱还保得住吗？

我测试了转账、扫码消费、发红包等功能，这些功能都需要输入支付密码，而在这里同样可以用手机验证码找回密码——好在阿里还设置了一个门槛，在找回支付密码的时候，需要核对用户的身份证信息或者银行卡号，如果你的手机和钱包一起丢了，而身份证或者银行卡正好在钱包里，那就一秒回到解放前了。

另外，如果你开通了小额免密支付功能（允许用户在支付宝、淘宝网、咸鱼、天猫等平台，单笔金额最大2000元内不用输入密码快捷支付），就等着哭吧！

通过手机号码，可以快速找回支付宝密码，整个过程只需要不到1分钟

还好支付密码不能直接修改，需要核对用户身份证号码、银行卡号等

如果你开通了小额免密支付，那就等着哭吧

首先看看QQ，腾讯同样非常贴心，提供了手机号登录功能，通过手机号收取验证码重置密码，整个过程同样也只需要1分钟左右，如果你的账号绑定了QQ安全中心的手机令牌（需要输入令牌中的随机密码才能登录），小偷完全可以点击“通过其他方式验证”然后选择短信收取验证码，但是现在SIM卡在小偷手上，这个步骤就完全没用了，多收一次验证码就可以登录你的QQ了。后台检测到在新设备登录之后，会要求短信验证——这不是骗自己吗？SIM卡都被盗了，这一步也形同虚设，登录过程比支付宝要多验证几步，但是也毫无难度。

而使用QQ钱包支付的时候，找回支付密码同样需要银行卡号/身份证号码，这就和支付宝一样了。所以，除了聊天记录、个人信息泄露，你还需要担心的就是小偷假冒你，骗你的好友打钱或者充话费了。至于微博等其他账号，同样可以用短信找回，只要有手机号，全都可以直接登录。

稍微做得好一点的是微信，虽然同样可以用手机号登录并且通过短信找回密码，但是登录的时候会弹出多个问题，包括从多个头像中选出你添加了的好友、曾经绑定过的手机号（这个其实就是被盗的手机号，很容易撞到答案）、最近加入的微信群等，如果是“内贼”拿了你的手机，还是很有可能答对这些问题的，而陌生人就不太容易了，除非几个问题全中，否则就不能登录。

而登录之后，可以看到朋友圈以及个人资料等，任何与资金相关的信息都需要输入图形密码或者数字支付密码才行，安全性相对较高（小偷同样可以冒充你的身份，向好友借钱）。

绑定了手机安全令牌也毫无用处

既然小偷拿到SIM卡，还怕短信验证吗？

登录微信时需要进行一系列身份验证，通过短信找回密码有一定难度

不光是支付宝和QQ等软件，几乎所有账户都可以用已绑定的手机号登录，所以你可别认为损失仅仅是一台手机。为了降低损失，保管好手机/身份证/银行卡肯定是第一要素，另外，最好第一时间打电话到运营商提供自己的身份信息，暂时锁定自己的SIM卡，补卡之后再立刻修改支付宝、微信等的密码。

为了防范于未然，在支付宝中，千万别开启小额免密支付，虽然付款时麻烦一点，但安全第一。如果已经开通，可以进入设置→支付设置→小额免密支付，然后输入支付密码将它关闭吧！在这里操作需要输入支付密码，所以你也不用担心小偷自己打开这个选项。

至于微信，虽然安全保护级别相对最高，也有可能被小偷撞到答案，如果发现手机被盗，一定要第一时间在其他手机上登录自己的微信号（由于新设备需要短信验证，如果没有备用机，就在家人手机上登录一次也算一个保险），然后在“我→设置→账号与安全→手机号”中另外绑定一个亲友或者自己的手机号码，这样，你此前绑定的手机号就不能用来登录了。

如果小偷已经赶在你前面修改了微信密码，你一定要进入登录界面，然后选择“更多→安全中心”，在这里通过邮箱找回密码（你的手机号已经在小偷手上了），如果不行，就选择申述、冻结账号等方式尽可能地保护自己的微信账号。如果找不到备用手机，身边又没有亲友，可以通过电脑打开weixin110.qq.com，在这里保护自己的微信账号。（来源：机智猫）

吴女士向北京晨报记者反映，她在网上购物时买到一件质量较差的外衣，立刻与淘宝店家联系，苦等了一周却没有任何回应，她便给了差评。没想到，她立刻就接到来自店家的威胁电话。“店主的认证信息是一个二十多岁的女孩，但打电话来的店主却是一个中年男子。”吴女士向客服投诉后，“几天后得到淘宝反馈说这家店已经被封号，因为卖家涉嫌提供虚假身份信息。”与此同时，吴女士的旺旺上收到了一条消息：“长期供应支付宝账号，已通过实名认证，可直接在淘宝开店，可以转账付款。”吴女士联想到自己的遭遇，“我很可能遭遇了非实名制的卖家”。

吴女士纳闷，实名认证的支付宝账号怎么也能买卖呢？如果支付宝账号被居心叵测的人买走后诈骗，岂不是很危险。这些“供应支付宝账号”的人又是从什么渠道通过身份验证的？

网上买卖支付宝号实名认证成空谈

记者就此展开调查，在网上搜索“出售支付宝账号”后出现了大量结果。记者随机联系了一名卖家，对方表示手上有几百个实名认证的支付宝账号，“10元钱一个账号，买的多还能优惠”。对方称手上的支付宝账号除了身份证号码和姓名不能更改外，其他详细信息如昵称、支付密码都可以更改，在网上正常开店没有问题。“我只是买卖账号而已，只要修改完密码，账户里的资金运转会很安全。”记者向其询问账号的来源，卖家却不愿意多说，只是推荐账号用途，“这个账号里没有你的真实信息，如果你用来开店，遇到差评直接可以舍弃，方便很多，很多卖家都是这样操作的。”

按规定，一个身份证号只能注册一个支付宝账号，只有通过实名认证，买方和卖方才能通过网上银行付款、收款和转账，一旦发现金额缺失，也能通过身份认证找到当事人。对此，支付宝公司的一位客服人员在接受采访时无奈表示，对于冒用他人身份注册账号买卖一事，他们也无能无力，“一旦有人举报，我们会全力配合公安机关协查”。

王先生于2017年3月1日通过手机支付宝APP充值移动手机话费100元，订单号:3202306882055291。

直到2017年3月2日下午4点40话费仍未到账，导致本人手机欠费停机。对外联系造成一定的损失，联系支付宝APP充值商家“中国移动官方旗舰店”根本不理，申请退费也待处理中，3月1日充值者全部用问题，希望能够对此进行处理。