漏洞！支付宝可随意更改他人密码，回应称已提高风控安全等级

1 月 10 日，今天凌晨，有网友在微信群称支付宝可以更改别人的密码，甚至可以不用别人原密码直接用手机号就可以更改。

对此，支付宝方于 10 日中午 12 点左右回应表示，支付宝已于今日上午提高风控系统的安全等级。

不只是熟人，或许谁都可以改掉你的支付宝密码

据了解，支付宝的设备管理功能此前 2016 年于 10 月 31 日正式下线。据支付宝官方介绍，该功能下线后，支付宝 app 一次只允许登录一台设备，在当前设备登录后，其他设备会自动退出登录。

自媒体 “科技先生” 对此消息做了求证，确定是可以更改，并以流程为证。

• 1. 打开支付宝登录界面，输入帐号后点击忘记密码
• 2. 输入帐号后直接点无法接收短信
• 3. 这里有很多验证方式，选择你所知道的方式，熟人验证，你知道的朋友信息
• 4. 更改密码，原密码直接忘记，直接更改
• 5. 修改完直接登入账户，拥有全部功能，且支持免密支付。

爱范儿在测试后，发现确实有一定概率可以直接改掉密码。我们测试了 3 个不同的支付宝账户，其中有两个 “被修改密码成功”。

任何人、用一台常用的手机、选择其中一个验证方式，都可以直接改掉他人的支付宝账户密码。而熟人验证、朋友信息在改密码过程使用起来是十分方便的。

例如说，可能你加过某个商家，他有了你的一些个人信息如淘宝账户、曾经的消费记录；或者说，你和某个陌生人在路上借过现金，你加他为支付宝好友，转过账给他。

这些信息，都可能成为熟人验证的证明。

支付宝表示，虽然支付宝此前支持购买商品和识别好友登录，但除了今天的测试情况外，没有发生和监测到大规模的盗号事件，而为了用户的安全还是调整了相应策略。

《支付宝安全保障规则》里有提到一个资产安全保护前提：

以下情况不在本保障服务的保障范围内：

 

经调查或经支付宝合理判断，对您主张您的资金未经本人授权支出的事实存疑或支付宝有理由认为可能由您本人操作或是您的配偶、亲属、朋友或雇员、代理人等所为的。如：资金支出的操作行为发生在可信网络环境下（如常用设备、IP、通过短信验证等），或存在您本人陈述与支付宝调查到的事实不符等可疑情形。

爱范儿（微信号：ifanr）和支付宝了解此条例之后是否会做修改，官方回应表示，要根据具体事件而定，如果发生相关情况，会在保险公司和公安机关会审核后做出判决。

网友支招：暂时的补救办法

下面附几则截止当前可用的补救方法（整理自知乎）：

• 1. 余额转出
• 2. 解绑银行卡
• 3. 关闭小额免密支付：设置-支付设置-免密支付
• 4. 花呗额度调到最低的 500
• 5. 购买支付宝内置的 2 元的账户安全险
• 6. 登录支付宝 PC 网页版，设置安全问题
• 7. 如果收到任何来自支付宝的密码更改短信，立刻去支付宝的急救包内办理挂失

目前，支付宝方面回应已提高风控系统的安全等级，此办法或可不用。

支付宝回应：于今日上午进一步提高了风控系统的安全等级

自今日凌晨，在安全漏洞事故被曝近 12 个小时后，支付宝方面终于公布处理结果。据了解，支付宝于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。

以下为回应全文：

我们接到网友反映，称可以通过识别好友、识别近期购买物品，来找回支付宝登录密码。

 

这一方式仅在特定情况下才会实现。通常情况下，用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户，我们的风控系统会先进行评估（比如账户信息完整程度、网络环境等因素）。在安全系数较高的情况下，才让用户回答一系列安全问题，只有在回答正确后，才能修改登录密码。

 

这一策略只能找回登录密码，仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。

 

为了更好提升用户的安全感，在接到网友反映后，我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。

 

我们也欢迎用户继续对我们的安全策略提出意见和建议，我们会根据大家的反馈进一步完善和修正。