螞蟻金服遭遇“多事之冬”。就在招財(cái)寶違約風(fēng)波尚未平靜之時(shí),支付寶再次陷入安全性質(zhì)疑。1月10日上午,一位用戶(hù)在社交平臺(tái)爆料稱(chēng),支付寶被發(fā)現(xiàn)新的漏洞,熟人只要知道你最近買(mǎi)過(guò)的東西,且二人有共同好友,就能較為輕易地通過(guò)驗(yàn)證,登錄你的支付寶賬戶(hù)。一石激起千層浪,就在用戶(hù)質(zhì)疑支付寶安全性之余,也把好友驗(yàn)證的這種方式看做變相“找補(bǔ)”社交短板,甚至有用戶(hù)喊話(huà)支付寶關(guān)閉社交功能。從安全角度來(lái)考慮,業(yè)內(nèi)人士建議,用戶(hù)可以關(guān)閉免密支付。
熟人可輕松“作案”
1月10日上午,一篇《網(wǎng)曝支付寶新漏洞:熟人可100%登錄篡改你支付寶密碼》的文章在市場(chǎng)上廣為流傳。據(jù)該文章披露,支付寶存在新漏洞:陌生人有1/5的機(jī)會(huì)登錄你的支付寶,熟人則有100%的機(jī)會(huì)登錄你的支付寶。
具體操作方法為,在“登錄手機(jī)賬號(hào)”環(huán)節(jié)選擇“忘記密碼”和“手機(jī)不在身邊”,就可以繞開(kāi)以短信驗(yàn)證碼的方式進(jìn)行驗(yàn)證;接下來(lái),支付寶會(huì)提供一種熟人驗(yàn)證的選擇,以“淘寶買(mǎi)過(guò)的東西9張圖片選1個(gè)”和“好友驗(yàn)證9個(gè)好友圖片選1個(gè)”來(lái)核驗(yàn)身份,只要選對(duì)就可以登錄成功。
雖然有支付寶員工指出,選擇圖片時(shí)只能選擇一次,選錯(cuò)就不能通過(guò)驗(yàn)證。但不少用戶(hù)都反駁稱(chēng),只要知道本人近期在淘寶買(mǎi)過(guò)的東西,以及有共同好友,就很容易完成,這樣的驗(yàn)證方式安全性很低。加劇用戶(hù)擔(dān)憂(yōu)的是,還有消息稱(chēng),曾有用戶(hù)在被熟人盜取了賬號(hào)后,支付寶客服人員以“熟人作案,支付寶不予理賠”回應(yīng)。
對(duì)此,1月10日上午,支付寶官微緊急回應(yīng)稱(chēng),通常情況下,用戶(hù)找回登錄密碼至少需要輸入手機(jī)短信驗(yàn)證碼,只有對(duì)于部分暫時(shí)無(wú)法收到短信的用戶(hù)或者更換移動(dòng)設(shè)備的用戶(hù),風(fēng)控系統(tǒng)才會(huì)先進(jìn)行評(píng)估(比如賬戶(hù)信息完整程度、網(wǎng)絡(luò)環(huán)境等因素),并在安全系數(shù)較高的情況下,才讓用戶(hù)回答一系列安全問(wèn)題,只有在回答正確后,才能修改登錄密碼。
隨后,支付寶還補(bǔ)充表示,在接到網(wǎng)友反映后,支付寶已于10日上午進(jìn)一步提高了風(fēng)控系統(tǒng)安全等級(jí)。目前,僅在用戶(hù)自己手機(jī)上才能通過(guò)識(shí)別近期購(gòu)買(mǎi)商品以及識(shí)別本人好友來(lái)找回登錄密碼,通過(guò)其他手機(jī)設(shè)備是無(wú)法應(yīng)用這一方式的。
業(yè)內(nèi)人士建議關(guān)閉免密支付
對(duì)于“熟人作案 ,支付寶不予理賠”的說(shuō)法,支付寶官方人士稱(chēng)這并不嚴(yán)謹(jǐn)。該人士表示,通常來(lái)說(shuō),只要是支付寶賬戶(hù)被盜刷,支付寶都會(huì)通過(guò)保險(xiǎn)公司進(jìn)行賠償。另外,在實(shí)際生活中,熟人作案的可能性很低,非常容易被識(shí)破。
一位金融機(jī)構(gòu)人士也對(duì)上海商報(bào)記者表示,陌生人1/5、熟人100%的兩個(gè)概率過(guò)于夸張。這兩個(gè)概率基于一個(gè)前提,即你的身邊存在這么一個(gè)“壞人”且知道支付寶登錄這個(gè)漏洞,這樣他只要觀(guān)察你最近買(mǎi)了什么東西就可以破解你的賬戶(hù)。
但身邊存在這么一個(gè)“壞人”的概率并不大,其次,對(duì)方破解的只是登錄密碼而非支付密碼,只能通過(guò)小額免密來(lái)盜竊小部分資金,更多的還是支付信息的泄露,實(shí)質(zhì)財(cái)產(chǎn)損失的風(fēng)險(xiǎn)不大。
支付寶也對(duì)這一點(diǎn)進(jìn)行了強(qiáng)調(diào)。支付寶稱(chēng),這一策略只能找回登錄密碼,僅通過(guò)回答安全問(wèn)題并無(wú)法找回支付密碼,且一旦用戶(hù)支付寶在其他設(shè)備被登錄,本人設(shè)備會(huì)收到通知提醒。此外,支付寶密碼分為登錄密碼和支付密碼,就算登錄密碼被重置,支付密碼也不會(huì)受到影響,用戶(hù)資金安全還是可以得到保障。
還有業(yè)內(nèi)人士“支招”,為避免任何一點(diǎn)資金受損,用戶(hù)可以關(guān)閉小額免密功能。易觀(guān)智庫(kù)支付行業(yè)分析師王蓬博表示,用戶(hù)遇到被盜刷的問(wèn)題,要及時(shí)聯(lián)系支付寶工作人員掛失或者按照提示將損失降低到最少;其次,用戶(hù)盡可能不要開(kāi)啟小額免密支付功能,并在用完后隨時(shí)解綁銀行卡。
用戶(hù)喊話(huà):不要做社交了
在這次登錄漏洞風(fēng)波后,盡管支付寶做出了很多安全方面的保證,卻依然難以完全打消用戶(hù)擔(dān)憂(yōu)。一位市場(chǎng)人士指出,支付寶錢(qián)包功能的安全性漏洞無(wú)疑將降低用戶(hù)對(duì)平臺(tái)的信任度。
在支付寶官微回應(yīng)的評(píng)論中,上海商報(bào)記者看到,被點(diǎn)贊最多的評(píng)論幾乎都在指責(zé)支付寶過(guò)分想要在社交方面突圍。在一個(gè)喊話(huà)支付寶“好好做支付,不要做社交!”的評(píng)論下,支付寶回應(yīng)稱(chēng),“你說(shuō)的對(duì)”。
支付寶設(shè)置通過(guò)好友驗(yàn)證的這種方式,在業(yè)內(nèi)人士看來(lái),背后就是變相擴(kuò)大社交功能的意圖。中央財(cái)經(jīng)大學(xué)金融法研究所所長(zhǎng)黃震表示,社交成為一大軟肋的支付寶是想通過(guò)這種方式增強(qiáng)社交性的色彩以彌補(bǔ)短板。不過(guò)一位安女士透露,她的支付寶好友名單中只有12個(gè)人,且僅是在“轉(zhuǎn)過(guò)一次賬之后就添加為好友了”,平日根本不會(huì)通過(guò)支付寶互相聯(lián)系。
事實(shí)上,螞蟻金服的社交突圍戰(zhàn)一直未曾停止。從旺旺、雅虎關(guān)系、來(lái)往、釘釘,到其投資的陌陌、微博等社交軟件,都是阿里系的社交嘗試,不過(guò),嘗試結(jié)果都不太理想。之后,螞蟻金服想借助已經(jīng)擁有廣泛客群的支付寶尋求突破,從新增朋友和口碑,到首頁(yè)新增生活圈,再到利用芝麻信用開(kāi)啟“圈子”,這些嘗試均不太成功。
此前就曾有業(yè)內(nèi)人士痛批,支付寶做社交最大的問(wèn)題就是用戶(hù)質(zhì)疑為什么金融服務(wù)要混入社交屬性,從用戶(hù)的心理出發(fā),會(huì)降低金融服務(wù)的安全性。本次登錄漏洞風(fēng)波爆發(fā)后,業(yè)內(nèi)人士再次強(qiáng)調(diào),封閉的財(cái)富管理和開(kāi)放的社交存在矛盾,對(duì)支付企業(yè)而言,用戶(hù)資金安全永遠(yuǎn)是第一位的。(上海商報(bào))