剛剛試了下，在自己的手機上忘記密碼丟失手機號後，彈出了好友和最近購買物品的選項。只有兩個同時選對才能下一步修改。事實上，這還是在我自己的手機上，如果實在其他的手機，並且是在其他的網段上的話，我感覺對於限制的校驗應該會更嚴苛。

簡單看了下其他的評論，我更傾向於這是一波集中對支付寶的黑。一般來說，除了熟人作案外加比較好的運氣外，一般情況下這幾步其實比較難透過。當然你必須承認這是個比較嚴重的風險點。但是看起來有不少的指責其實挺沒道理的，感覺因為阿里過去的汙點從而為黑而黑。

所以比較簡單的做法就是關閉免密碼，刷臉支付等稍微便利的操作感覺問題就不大了。

坐床上點了根菸，仔細的回憶了一下具體流程。

想想真的有點可怕了，抓緊時間把主編叫醒趕了一篇稿子。

現在才發現原來支付軟體做社交才是大殺器啊···

此次事件有一種可能：支付寶並不是不安全，而是讓使用者感覺不安全

支付寶改密的驗證邏輯應該是：

1）判斷使用者是否在常用環境登陸（這裡不會感知到使用者）

2）如果是常用環境，則使用弱驗證方式（這裡會感知到使用者）

3）如果非常用環境，則使用強驗證方式（這裡也會感知到使用者）

所以，當用戶在常用環境下操作時，智慧感知到第2步，所以會感覺支付寶不安全。

而實際上結合1和2在大多數情況下是能夠保證安全的。

下面說一下幾個誤區：

1）主要是熟人惡作劇，哪怕真的遇到資金被盜，支付寶肯定會給我賠付的

答：很明顯大部分人都是這樣認為的，但密碼輸入正確的行為會被判定為熟人作案，屬於正常的支付行為，保險拒賠。

附案例一枚：

答：刪好友是沒有用的，重置登陸密碼的時候選的是：可能認識的人

注意了，這裡不是選擇好友！

這一方式僅在特定情況下才會實現。通常情況下，使用者找回登入密碼至少需要輸入手機簡訊驗證碼。對於部分暫時無法收到簡訊的使用者或者更換移動裝置的使用者，我們的風控系統會先進行評估（比如賬戶資訊完整程度、網路環境等因素）。在安全係數較高的情況下，才讓使用者回答一系列安全問題，只有在回答正確後，才能修改登入密碼。

為了更好提升使用者的安全感，在接到網友反映後，我們於今日上午進一步提高了風控系統的安全等級。目前僅在使用者自己的手機上，才能透過識別近期購買商品以及識別本人好友來找回登入密碼，透過其他手機裝置是無法應用這一方式找回登入密碼的。

支付寶出現bug是很自然的事情，之前優步繫結支付寶的時候只認手機號碼和手機驗證碼，我用新辦的手機號碼綁定了！坐了半年的車，支付寶打電話來告訴我，我一直都在消費別人銀行卡里的錢… 再三詢問和確認才知道，支付寶這個弊端的原因是：該銀行卡使用者註冊的支付寶是用這個手機號碼註冊的，後來他不用這個號碼了。更換了其他手機繫結！但是這個手機號碼卻根深蒂固的使用著他的資料，在快捷支付的時候，也快捷扣除了他銀行裡的錢。 不過現在支付寶已經修復了這個bug。他們的客服也多次打電話來叫我賠錢給該使用者，整得我一度很反感支付寶。 事實上任何軟體出現bug都是不可避免的，及時發現並修復才是上上之選。切不可義氣之爭！我們也希望支付寶會越做越好，給廣大使用者帶來更好的體驗。謝謝

一個龐大的金融體系終歸是有缺陷，支付寶是阿里巴巴龐大帝國的一個挺重要的產品，但是卻頻頻出現漏洞，無論是前幾日的白領門、校園們，還是今日被爆出的熟人可登入問題，都是對阿里金融的一個警示。在產品形象方面，從雙十二的大量線下支付寶支付優惠活動看，支付寶的勢頭很旺，他不滿足於線上，他想要實現線上線下的壟斷式雙贏。然而，發展的步伐固然重要，但是根基沒有打牢，此產品長期樹立的良好形象或許會轟然崩塌，猶如剛剛爆出出軌風波的陳思成；從產品設計看，支付寶依託阿里這於麼大一個集團，技術專家不在話下，但是從前幾日的校園白領門，實在讓人搞不懂支付寶想要幹嘛？仿照微信麼？一步步版本的最佳化，小程式的上線，微信一直在進步，未來或許一個微信足矣。起碼，微信社交的地位依然很難撼動。今日又爆出支付寶這麼打一個漏洞，我實在不相信是支付寶那幫牛逼哄哄的產品經理的水平的問題。那麼，這次支付寶問題也是給第三方支付平臺的一個警鐘。希望東施效顰的支付寶，做好本職工作，日後本分謹言慎行。謝謝。

嚴格來說這並不是一個安全漏洞，所謂漏洞是指程式擁有者提前不知道的，而支付寶的這個問題他們是提前知曉的，當時的資深安全技術專家雲舒是給他們郵件提過此事的，他們覺得是個小機率事件，在權衡了使用者體驗之後沒用去解決這個問題，或者乾脆認為它是一個功能，而早在十天前winter大大也給他們提過這個問題，他們也以風控策略為理由，沒有認為這是個對使用者有潛在風險的問題…然而，等問題發生了，輿情氾濫了，他們才意識到這是個問題，而不再堅持是個固有的風控策略了，也才提出了所謂的風控策略“升級”，卻隻字不肯承認這是個安全問題…對於支付寶的宣告（注意不是道歉）使用者肯定不會買賬了。

網際網路界有那麼幾件事比較難做到：賈躍亭認慫，雷不斯踏踏實實做產品，BAT的一句真誠道歉…

不信抬頭看，蒼天繞過誰？支付寶，你欠使用者一個道歉，安全容不得半點疏忽。

支付寶1月10日被曝存在安全漏洞，熟人可以透過選擇忘記密碼，識別購買過的商品、認識的人，來重置密碼，登入賬號進行免密支付。

雖然支付寶已經修復了該問題，只能在本機上才能操作，其他手機是無法找回密碼的。但不得不引起重視，支付寶一心只在提高人們的支付便捷，卻未曾考慮到該功能對支付的安全風險，在社交化的同時是否能夠真正保證人們的財產安全。支付寶是跟錢有關的，財產是最私密的，而社交是分享性的，兩者是相悖的，支付寶要好好權衡。

支付寶產品經理比微信PM還是差了一大截。張小龍曾對產品經理說過，你們每增加或者改變一個功能，都會影響到數億使用者，對此你們不應該心懷畏懼嗎？想一想自己決策的後果，不會因此而感到害怕嗎？支付寶PM應該好好看看這段話，要心懷敬畏，好好提高一下安全風控。

支付寶社交之心不死，不知道以後還會出什麼么蛾子。

不過，漏洞被曝出之後，支付寶響應很快，針對風控迅速進行了調整。以下為支付寶迴應全文：我們接到網友反映，稱可以透過識別好友、識別近期購買物品，來找回支付寶登入密碼。這一方式僅在特定情況下才會實現。通常情況下，使用者找回登入密碼至少需要輸入手機簡訊驗證碼。對於部分暫時無法收到簡訊的使用者或者更換移動裝置的使用者，我們的風控系統會先進行評估(比如賬戶資訊完整程度、網路環境等因素)。在安全係數較高的情況下，才讓使用者回答一系列安全問題，只有在回答正確後，才能修改登入密碼。這一策略只能找回登入密碼，僅透過回答安全問題並無法找回支付密碼。且一旦使用者支付寶在其他裝置被登入，本人裝置會收到通知提醒。為了更好提升使用者的安全感，在接到網友反映後，我們也進一步提高了風控系統的安全等級。目前僅在使用者自己的手機上，才能透過識別近期購買商品以及識別本人好友來找回登入密碼，透過其他手機裝置是無法應用這一方式找回登入密碼的。

我們也歡迎使用者繼續對我們的安全策略提出意見和建議，我們會根據大家的反饋進一步完善和修正。

支付寶強行社交所帶來的安全隱患

作為華人最常用的“手機錢包”之一，支付寶的各種行為與表現都會被無限的放大與分析。既有支付寶VR紅包這樣被捧上天的PR舉動，有2016年全年賬單一出現便刷爆朋友圈的事件，也就有上線生活圈被罵支付寶轉型陌陌行為。

作為一款涉及到支付、交易的軟體，最重要的是什麼？

安全。

在未經使用者許可，便擅自修改使用者名稱稱，使用者還無法操作。這樣的漏洞出現，也無疑給支付寶的安全問題，打上了巨大的陰影。 安全是支付寶的首要保障，不過隨著支付寶的便捷性出現，安全性就越來越容易受到挑戰，而且支付寶影響的人群都是以億為單位的。 這樣的漏洞，絕對可以算得上是“重大事故”級別的了。

不得不猜測，支付寶內部，一定長期揹負著兩個大的KPI，一個有關於“社交”，例如使用者數關係對線上時間等，另一個則有關於“支付”，例如沉澱金額交易數量投訴數量故障機率等等。

毋庸置疑，這兩個KPI的導向一定是截然不同，甚至有時會出現衝突的。對社交來說，互動才是關鍵，“安全”和“保障”並不那麼重要。而對於支付來說，“安全”則是底線。

從“支付鴇”事件以來，社群版面依然沒有改動。這種非要把財產和社交綁在一起的行為，無非是在向微信叫板。尤其是這次微信小程式意圖重新整合線下資源，拓展支付功能，支付寶們當然緊張了。一緊張就忙著張羅社群，忘記他們最開始的支付交易功能。本質上，涉及到錢財的東西，就該遠離社交。這兩塊的原始出發點就是相悖的。社交越是接近，關係越是親近，對錢財的危險性和擔憂性越強。

支付寶漏洞的原因

最直接的原因是在風控系統的評估上，支付寶系統並沒有對裝置進行檢測，或是直接繞過了“常用裝置驗證機制”，讓所有的裝置在點選“忘記密碼”後都直接跳轉到了驗證購買商品和好友的頁面，這顯然是不符合安全規範的。 另一個潛在的原因在於支付寶強行打造的社交體系。

從產品思維角度來看，透過讓使用者點選自己的好友來驗證，這一方式其實並沒有多大的問題，反而還能加強使用者對於支付寶的社交概念，然而，沒想到的是，這種方式竟然能夠被熟人利用，從而引發出了巨大的安全漏洞。在技術發展方向上，為了使用方便，太信任機器學習模型，太信任基於風控的控制，忽視傳統技術層面的強控制。

我們如何避免風險？1. 留意手機簡訊，及時掛失如果你無緣無故收到找回密碼的簡訊，那說明你的賬號可能處在風險中。

此時你可以在「我的」-「設定」-「安全中心」-「急救包」中選擇「快速掛失」，掛失後「資金不進不出，任何人無法登入」。

2. 購買支付寶賬戶安全險

在「我的」-「保險服務」中即可選擇。

4. 調低花唄額度

將花唄額度從最高，調到你需要的額度，萬一賬號真的被盜，也能儘可能減少損失。你可以在「我的」-「螞蟻花唄」-「設定」-「額度設定」設定。

“財不外露”是中華民族的傳統觀念，而支付寶強行做社交正好違背了這一理念。這個高危漏洞爆出之後，支付寶之前費盡心思打造的社交基礎瞬間瓦解。

手機驗證碼+支付寶密碼可以修改登陸密碼。 銀行卡號+手機驗證碼+身份證號+問題保護 可以修改支付密碼。

建議你自己先改了

這個漏洞支付寶自己真的不知道嗎？我想他們應該早就知道吧！他們在設計產品時對客戶體驗和安全這兩方面做過權衡吧，放棄安全側重客戶體驗。今年央視315晚會曾質疑人臉識別技術的安全性，晚會第二天，支付寶宣佈任何透過照片或者處理過的動態照片實現人臉登陸而導致自己賬戶被盜的，支付寶會全額賠付。

我在想：如果沒人發現，出現這種漏洞，支付寶會承認嗎？會賠付嗎？