支付宝惊现漏洞：密码可以被随意更改！三步登陆好友账号

　　今早(10日)，关于“熟人可重置支付宝密码”的消息引爆网络。

　　有网友爆料称“支付宝存在一个新漏洞，陌生人有机会登录你的支付宝，熟人有100%的机会登录你的支付宝。”

　　网络支付已渗透进大多数人的生活当中，网络支付账号的安全让所有人极为重视。这个漏洞是真的吗?

　　今天也对支付宝的漏洞进行了一次测试，用朋友的手机登陆支付宝APP，第一步选择“忘记密码”。

　　支付宝自动给朋友发去了验证信息，如网友所述漏洞，第二步选择“无法接收短信”。

　　然后出现了以下三种找回密码的方式，并无法通过选择最近购买的物品及好友来重置密码。重置密码失败。

　　而此时朋友则收到了支付宝发去的验证码提示。

　　今早不少朋友的测试结果都相同。

　　所以网友所爆的漏洞是谣言?并不是。

　　今早11时许，南都记者的支付宝账号，被同在办公室的同事用网友所爆方法成功登陆……

　　在输入手机号并选择“忘记密码”后，找回方式出现“回答与您有关的问题”。

　　选择后会出现两道选择题，第一题，选择买过的东西。

　　登陆自己手机号找回密码示意图，同事尝试步骤与此相同。

　　第二题，选择一个可能认识的人。

　　登陆自己手机号找回密码示意图，同事尝试步骤与此相同。

　　两个问题都答对，就可以成功重置登录密码了。

　　登陆自己手机号找回密码示意图，同事尝试步骤与此相同。

　　南都记者表示，同事刚好知道她最近买了手机壳、选择“认识的人”则刚好是另一位同事，因此顺利答对两个问题，成功到达重置密码一步。

　　微博上一些大V也表示亲测成功，南都君一位在互联网企业工作的朋友也同样表示，她的同事昨夜今晨亲测，确实成功到了可修改密码那一步。两人经常在公司用同一WiFi，但她并没有在朋友的手机上登陆过自己的支付宝账号。

　　亲测成功用手机号登陆朋友支付宝账号。

　　快科技、新浪科技等媒体也成功使用网友所爆漏洞登陆。微博上不少网友也纷纷表示确实可以……

　　熟悉网络支付的朋友对南都君表示，登陆他人支付宝后，虽然部分支付(比如网购付款、商店大额扫码等)需要输入密码或验证指纹，但小额免密、面对面小额付款等仍可能成功出账。

　　蚂蚁金服回应：

　　已改进，提高了风控系统安全等级

　　今日(10日)上午，针对上述情况，蚂蚁金服方面对南都记者回应称，目前已经进行改进。提高了风控系统的安全等级。目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。

　　拿到了你的手机(同一设备)

　　有互联网从业人员表示这属于P0级漏洞并给出了一些补救方式——

　　而有朋友进一步向南都君爆料称，除了支付宝找回密码漏洞外，好友通过你的手机找回淘宝APP密码更易如反掌……

　　如果亲朋好友或陌生人(((10)))，打开淘宝APP，选择“找回密码”，不需要短信或问题验证，即可随时重置密码……