支付宝回应熟人可修改密码漏洞：仅在特定情况下可行，已提高安全等级

今日早间，有网友发现了支付宝的一个致命漏洞，熟知你支付宝个人信息的人可以通过“找回密码”功能登录你的支付宝并修改登录密码。

大致方法是，在登录界面点击“忘记密码”，然后在重置登录密码界面选择无法接收短信（手机不在身边），然后这时候，只需要通过选对一些个人信息，即可“重置登录密码”。

选择不通过接受验证码重置密码

这些个人信息可能是从九个图中选出你的好友、选出你近期购买的物品、选出一个与你有关的地址、填写你的真实姓名和身份证号、或者验证你的银行卡信息等。

支付宝会让你选择你的个人相关信息

这意味着，只要是对账号主人比较熟悉的人，就可以重置其登陆密码。用类似的方法，36氪在成功修改了数个支付宝账号的密码，并登入相应账号。

支付有时候需要支付密码，但有的账号已经开通了小额免密支付，对于小额支付就不需要输入密码；此外，在线下当面扫码付款的场景中，也是不需要支付密码的。因此，成功修改了密码的人即便不知道支付密码，也可以用修改了密码的账号消费。

此外，有媒体指出，即便是陌生人，通过上述方式，也有可能碰巧成功选中了购买的商品和朋友。除了以此来进行大额消费之外，也有可能通过此来获取账号信息，或者对支付宝好友实行诈骗。

此事在网上引起热议，网友们表示希望支付宝尽快完善上述漏洞。

午间，针对网友们曝出的漏洞，蚂蚁金服安全中心官方微博发布回应称，这一方式仅在特定情况下才会实现，对于无法接收短信或者更换了设备的用户，风控系统会评估过账户安全系数等因素的情况下才会让用户回答问题重置密码。而且，一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。

经36氪确认，被修改了密码的支付宝用户，确实表示收到了通知。

另外，支付宝还表示，为提升用户安全感，在接到网友反映后，今日上午，已经进一步提高了风控系统的安全等级。目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码。

蚂蚁神盾局的回复