支付宝回应破解密码漏洞之谜：特定情况才会实现

今日有网友曝光支付宝安全漏洞，称利用此漏洞，熟人可轻松破解密码。对此，蚂蚁金服安全中心官方微博@蚂蚁神盾局回应称，这一方式仅在特定情况下才会实现。如果用户支付宝在其他设备被登录，本人设备会收到通知提醒。

支付宝回应破解密码漏洞：只在特定情况下才会实现

网友曝光的破解密码的方法，同事相互试，都能成功。不用手机验证。不用密码登陆。

其中，最为重要的两个环节为“选一个您购买过的商品”、“选一个您可能认识的人”。

对此，有网友推断，因为如果是同事关系，就可能选对“购买过的商品”，如果是熟人关系，就有可能选对“您可能认识的人”，因此被盗号的几率很高。

支付宝称，通常情况下，用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户，我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。

在安全系数较高的情况下，才让用户回答一系列安全问题，只有在回答正确后，才能修改登录密码。

这一策略只能找回登录密码，仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。

以下为蚂蚁金服回应全文：