支付寶現安全漏洞？官方稱已升級風控系統

　　近日，一則關於“熟人可以篡改你支付寶密碼”的消息在網絡流傳。有網友表示，只要登錄他人的支付寶賬號，選擇“忘記密碼”，就可以通過安全問題驗證（識別近期購買物品或好友）找回密碼，從而登錄別人的支付寶賬號。支付寶回應，在接到網友反映後，已對風控系統的安全等級進行了升級。

　　支付寶在接受採訪時表示，熟人篡改密碼這一策略只能找回登錄密碼，僅通過回答安全問題並無法找回支付密碼，且一旦用戶支付寶在其他設備被登錄，本人設備會收到通知提醒。

　　支付寶同時表示，在接到網友反映後，支付寶立即對風控系統的安全等級進行了提升。目前，僅在用戶自己的手機上，才能通過識別近期購買商品以及識別本人好友來找回登錄密碼，通過其他手機設備是無法應用這一方式找回登錄密碼的。

　　通常情況下，用戶找回登錄密碼至少需要輸入手機短信驗證碼，只有對於部分暫時無法收到短信的用戶或者更換移動設備的用戶，風控系統才會先進行評估（比如賬戶信息完整程度、網絡環境等因素），並在安全系數較高的情況下，讓用戶回答一系列安全問題，而且只有在回答正確後，才能修改登錄密碼。此外，支付寶密碼分為登錄密碼和支付密碼，就算登錄密碼被重置，支付密碼也不會受到影響，用戶資金安全還是可以得到保障。

　　上海交通大學密碼與計算機安全實驗室（LoCCS）安全研究團隊通過該問題進行全面安全測試，指出基於相關用戶信息的密碼重置方案儘管在特定場景下存在攻擊面，但是攻擊者的攻擊窗口受到實際情況限制較大，且在完成登錄後再進行針對用戶財産的操作會被支付密碼進一步限制，因此很多現有評估對安全威脅誇大描述。（證券時報記者 裴晨汐）