螞蟻金服遭遇“多事之冬”。就在招財寶違約風波尚未平靜之時,支付寶再次陷入安全性質疑。1月10日上午,一位用戶在社交平臺爆料稱,支付寶被發(fā)現新的漏洞,熟人只要知道你最近買過的東西,且二人有共同好友,就能較為輕易地通過驗證,登錄你的支付寶賬戶。一石激起千層浪,就在用戶質疑支付寶安全性之余,也把好友驗證的這種方式看做變相“找補”社交短板,甚至有用戶喊話支付寶關閉社交功能。從安全角度來考慮,業(yè)內人士建議,用戶可以關閉免密支付。
熟人可輕松“作案”
1月10日上午,一篇《網曝支付寶新漏洞:熟人可100%登錄篡改你支付寶密碼》的文章在市場上廣為流傳。據該文章披露,支付寶存在新漏洞:陌生人有1/5的機會登錄你的支付寶,熟人則有100%的機會登錄你的支付寶。
具體操作方法為,在“登錄手機賬號”環(huán)節(jié)選擇“忘記密碼”和“手機不在身邊”,就可以繞開以短信驗證碼的方式進行驗證;接下來,支付寶會提供一種熟人驗證的選擇,以“淘寶買過的東西9張圖片選1個”和“好友驗證9個好友圖片選1個”來核驗身份,只要選對就可以登錄成功。
雖然有支付寶員工指出,選擇圖片時只能選擇一次,選錯就不能通過驗證。但不少用戶都反駁稱,只要知道本人近期在淘寶買過的東西,以及有共同好友,就很容易完成,這樣的驗證方式安全性很低。加劇用戶擔憂的是,還有消息稱,曾有用戶在被熟人盜取了賬號后,支付寶客服人員以“熟人作案,支付寶不予理賠”回應。
對此,1月10日上午,支付寶官微緊急回應稱,通常情況下,用戶找回登錄密碼至少需要輸入手機短信驗證碼,只有對于部分暫時無法收到短信的用戶或者更換移動設備的用戶,風控系統(tǒng)才會先進行評估(比如賬戶信息完整程度、網絡環(huán)境等因素),并在安全系數較高的情況下,才讓用戶回答一系列安全問題,只有在回答正確后,才能修改登錄密碼。
隨后,支付寶還補充表示,在接到網友反映后,支付寶已于10日上午進一步提高了風控系統(tǒng)安全等級。目前,僅在用戶自己手機上才能通過識別近期購買商品以及識別本人好友來找回登錄密碼,通過其他手機設備是無法應用這一方式的。
業(yè)內人士建議關閉免密支付
對于“熟人作案 ,支付寶不予理賠”的說法,支付寶官方人士稱這并不嚴謹。該人士表示,通常來說,只要是支付寶賬戶被盜刷,支付寶都會通過保險公司進行賠償。另外,在實際生活中,熟人作案的可能性很低,非常容易被識破。
一位金融機構人士也對上海商報記者表示,陌生人1/5、熟人100%的兩個概率過于夸張。這兩個概率基于一個前提,即你的身邊存在這么一個“壞人”且知道支付寶登錄這個漏洞,這樣他只要觀察你最近買了什么東西就可以破解你的賬戶。
但身邊存在這么一個“壞人”的概率并不大,其次,對方破解的只是登錄密碼而非支付密碼,只能通過小額免密來盜竊小部分資金,更多的還是支付信息的泄露,實質財產損失的風險不大。
支付寶也對這一點進行了強調。支付寶稱,這一策略只能找回登錄密碼,僅通過回答安全問題并無法找回支付密碼,且一旦用戶支付寶在其他設備被登錄,本人設備會收到通知提醒。此外,支付寶密碼分為登錄密碼和支付密碼,就算登錄密碼被重置,支付密碼也不會受到影響,用戶資金安全還是可以得到保障。
還有業(yè)內人士“支招”,為避免任何一點資金受損,用戶可以關閉小額免密功能。易觀智庫支付行業(yè)分析師王蓬博表示,用戶遇到被盜刷的問題,要及時聯系支付寶工作人員掛失或者按照提示將損失降低到最少;其次,用戶盡可能不要開啟小額免密支付功能,并在用完后隨時解綁銀行卡。
用戶喊話:不要做社交了
在這次登錄漏洞風波后,盡管支付寶做出了很多安全方面的保證,卻依然難以完全打消用戶擔憂。一位市場人士指出,支付寶錢包功能的安全性漏洞無疑將降低用戶對平臺的信任度。
在支付寶官微回應的評論中,上海商報記者看到,被點贊最多的評論幾乎都在指責支付寶過分想要在社交方面突圍。在一個喊話支付寶“好好做支付,不要做社交!”的評論下,支付寶回應稱,“你說的對”。
支付寶設置通過好友驗證的這種方式,在業(yè)內人士看來,背后就是變相擴大社交功能的意圖。中央財經大學金融法研究所所長黃震表示,社交成為一大軟肋的支付寶是想通過這種方式增強社交性的色彩以彌補短板。不過一位安女士透露,她的支付寶好友名單中只有12個人,且僅是在“轉過一次賬之后就添加為好友了”,平日根本不會通過支付寶互相聯系。
事實上,螞蟻金服的社交突圍戰(zhàn)一直未曾停止。從旺旺、雅虎關系、來往、釘釘,到其投資的陌陌、微博等社交軟件,都是阿里系的社交嘗試,不過,嘗試結果都不太理想。之后,螞蟻金服想借助已經擁有廣泛客群的支付寶尋求突破,從新增朋友和口碑,到首頁新增生活圈,再到利用芝麻信用開啟“圈子”,這些嘗試均不太成功。
此前就曾有業(yè)內人士痛批,支付寶做社交最大的問題就是用戶質疑為什么金融服務要混入社交屬性,從用戶的心理出發(fā),會降低金融服務的安全性。本次登錄漏洞風波爆發(fā)后,業(yè)內人士再次強調,封閉的財富管理和開放的社交存在矛盾,對支付企業(yè)而言,用戶資金安全永遠是第一位的。(上海商報)