钛媒体注：今天在朋友圈的又传疯了一条阿里巴巴的坏消息——支付宝出现了重大的漏洞，熟人在知晓你的支付宝个人信息后，可以通过“找回密码”功能登录并篡改支付宝密码。网上曝光的支付宝漏洞原理如下：

在打开支付宝登录界面，输入帐号后点击忘记密码，在重置登录密码中选择无法接受短信，然后通过个人信息验证即可“重置登录密码”。其中个人信息可能是识别好友、识别近期购买物品、真实姓名和身份证号等，比如：

淘宝买过的东西9张图片选1个，或者好友验证9个好友图片选1个，选择正确便会登录成功。这时就可以直接扫二维码付款不用密码。

而根据网友的测试，陌生人有五分之一的机会登录你的支付宝，而熟人则有百分之百的机会登录你的支付宝。

在本次漏洞发生不久之后，支付宝通过“蚂蚁神盾局”微博发出了声明：

我们接到网友反映，称可以通过识别好友、识别近期购买物品，来找回支付宝登录密码。

这一方式仅在特定情况下才会实现。通常情况下，用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户，我们的风控系统会先进行评估（比如账户信息完整程度、网络环境等因素）。在安全系数较高的情况下，才让用户回答一系列安全问题，只有在回答正确后，才能修改登录密码。

这一策略只能找回登录密码，仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。

为了更好提升用户的安全感，在接到网友反映后，我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。

我们也欢迎用户继续对我们的安全策略提出意见和建议，我们会根据大家的反馈进一步完善和修正。

支付宝官方微博也在第一时间转发了这条微博，并声称，

为了更好提升用户的安全感，在接到网友反映后，我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。

作为中国人最常用的“手机钱包”之一，支付宝的各种行为与表现都会被无限的放大与分析。既有支付宝VR红包这样被捧上天的PR举动，有2016年全年账单一出现便刷爆朋友圈的事件，也就有上线生活圈被骂支付宝转型陌陌行为。

在今年的六月一号，支付宝曾经强迫所有的用户来过儿童节，在每一位用户名称的背后都强制加上了“宝宝”的称谓，这引起了广大网友的抵触：

不告知就改名，还以为账户被黑了。今天能改我的名，明天会不会改我的余额；平时那么多人要认马云当爸爸，现在人家终于称呼你为宝宝了，又有人不乐意了；更恶心的是，这两个字还没法删除，6.1-6.5号部分服务器升级暂时无法修改头像、昵称；……

作为一款涉及到支付、交易的软件，最重要的是什么？

安全。

现在没有出现未经用户许可，便擅自修改用户名称，用户还无法操作的事情。但是这样的漏洞出现，也无疑给支付宝的安全问题，打上了巨大的阴影。

阿里巴巴原本就是一家“业务决定论”的公司，在阿里的内部技术人员的决定也并非是“最高指示”。在知乎上《如何看待支付宝 1 月 10 日被曝光的非密码登录模式下可能出现的账户安全风险？》的话题下，有一个ID为云舒的用户这样讲，

首先因为对安全的理念，我们安全人员看案例，他们业务人员看概率。其次，技术发展方向，他们为了使用方便，太信任机器学习模型，太信任基于风控的控制，而忽视了传统技术层面的强控制。

也许大体能解释这样的事情为何会发生。（钛媒体编辑张霖整理报道） 

PS：蚂蚁神盾局微博原版图片

本文系钛媒体原创，转载请注明出处、作者和本文链接。