識別朋友，識別買的商品，就能找回自己，甚至獲得別人的支付寶登錄密碼？

最近有網(wǎng)友說支付寶有安全漏洞。熟人以一方的用戶名輸入賬戶后，不輸入密碼，選擇尋找密碼的方法，在認(rèn)證過程中輸入熟人的信息，就可以成功登錄。

根據(jù)網(wǎng)友的說法，打開支付寶錢包客戶端，輸入你想要登錄的手機賬號，點擊“密碼登錄”，此時會有“忘記密碼？”的選項，確認(rèn)需要重置登錄密碼的賬戶，點擊“下一步”；如果登錄賬號的手機不在身邊，支付寶還提供了“無法接收短信”的選擇，即支付寶會提供其他的驗證方式，如“選一個您購買過的商品”的驗證頁面就出現(xiàn)了，在九張圖片中選擇出正確答案后，點擊下一步，還需要“選一個你可能認(rèn)識的人”；同樣在九張圖片中選擇出正確答案，完成這兩個步驟之后，你就可以修改該賬戶的密碼了，連同該賬戶關(guān)聯(lián)的淘寶登錄密碼也會被修改。

“一覺醒來，身邊的朋友都在體驗人人當(dāng)黑客的感覺?！庇芯W(wǎng)友如是評論。

對此，支付寶方面1月10日承認(rèn)了這一修改密碼的方式的存在，但強調(diào)，這一方式僅在特定情況下才會實現(xiàn)。

支付寶方面表示，通常情況下，用戶找回登錄密碼至少需要輸入手機短信驗證碼。對于部分暫時無法收到短信的用戶或者更換移動設(shè)備的用戶，我們的風(fēng)控系統(tǒng)會先進行評估（比如賬戶信息完整程度、網(wǎng)絡(luò)環(huán)境等因素）。在安全系數(shù)較高的情況下，才讓用戶回答一系列安全問題，只有在回答正確后，才能修改登錄密碼。

按照上述方法修改完密碼直接登入賬戶就可以隨心所欲支配該支付寶賬戶的資金甚至是借唄、花被等功能了？

對于這一質(zhì)疑，支付寶方面表示，這一策略只能找回登錄密碼，僅通過回答安全問題并無法找回支付密碼。且一旦用戶支付寶在其他設(shè)備被登錄，本人設(shè)備會收到通知提醒。

盡管如此，支付寶方面還是緊急打起了“補丁”。

支付寶已經(jīng)于1月10日上午進一步提高了風(fēng)控系統(tǒng)的安全等級。目前僅在用戶自己的手機上，才能通過識別近期購買商品以及識別本人好友來找回登錄密碼，通過其他手機設(shè)備是無法應(yīng)用這一方式找回登錄密碼的。