支付宝惊现重大漏洞：熟人可轻松篡改密码？支付宝：问题已解决！

按网友的说法，原理是这样的：

→ 登录手机账号

→ 忘记密码

→ 手机不在身边

→ 淘宝买过的东西9张图片选1个

→ 好友验证9个好友图片选1个

→ 登录成功。 

这时就可以直接扫二维码付款不用密码。

有网友尝试登陆同事的支付宝，因为见过同事买过什么东西，所以在“购买过的商品”中很容易选出，但“认识的人”中恰好没有认识的，尝试了2次均告失败。

而同事尝试登陆网友支付宝，“购买过的商品”同样很轻松选对，而且“认识的人”中恰好有另一位同事，所以最终成功“黒入”笔者支付宝。

最恐怖的是：若判定为熟人作案 ，支付宝不予理赔：有一位网友的支付宝被盗刷，但是支付宝却用疑似“熟人作案”一口回绝，不给赔付。

据了解，创业邦杂志联系到了支付宝工作人员，并得到了回复。

针对上述情况，支付宝官方微博紧急回应称，为了更好提升用户的安全感，在接到网友反映后，我们于今日上午进一步提高了风控系统的安全等级。

目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。

针对以上帖子爆料的问题，在帖子下方有疑似阿里内部员工进行回复称：早在10天前就在内网反馈过了，后来支付宝的人解释了一下情况没大家想的那么糟。

这个问题我10几天前就在内网反馈过了，后来支付宝的人解释了一下情况没大家想的那么糟，据说是有环境判断的，什么同一mac地址上登录的支付宝账号数量之类的（然而我家路由器没设wifi密码啊WTF），另外还有支付密码，所以即使盗了最多刷走点小额，以及搞个朋友圈行骗之类的。

关于“小额”：我的=>设置=>支付设置=>免密支付=>小额免密支付。可以调额度，也可以关掉。

对此，创业邦杂志询问了一下支付宝的客服，客服的回应是：

这个情况是因为支付宝会综合考虑账户安全，然后直接提供的选项，这个选项是无法修改的！（支付宝对自己非常自信）

其实，在用户隐私被泄露严重的今天，支付宝提供的很多重置密码的方法确实容易被不法人士利用。

紧急解决方案：

如突然收到支付宝发来的验证码短信，说明有人尝试登录你的支付宝账号，请立刻进入支付宝客户端。

点击【我的】→【账户】→【设置】→【安全中心】→【急救包】→【快速挂失】，阻碍任何人登录你的账号，并且阻止资金的转入转出。

当然了，还是希望支付宝可以重视产品上的逻辑错误，努力寻找解决方法，从源头上杜绝盗刷等问题！

本文来源：创业邦杂志（ichuangyebang，作者： 喵蛋蛋）、凤凰科技、快科技、21金融圈

声明：文中内容仅代表原作者观点，不代表21世纪经济报道，不构成投资建议

本期编辑 刘巷