支付宝社交存盗刷隐患
蚂蚁金服遭遇“多事之冬”。就在招财宝违约风波尚未平静之时,支付宝再次陷入安全性质疑。1月10日上午,一位用户在社交平台爆料称,支付宝被发现新的漏洞,熟人只要知道你最近买过的东西,且二人有共同好友,就能较为轻易地通过验证,登录你的支付宝账户。一石激起千层浪,就在用户质疑支付宝安全性之余,也把好友验证的这种方式看做变相“找补”社交短板,甚至有用户喊话支付宝关闭社交功能。从安全角度来考虑,业内人士建议,用户可以关闭免密支付。
熟人可轻松“作案”
1月10日上午,一篇《网曝支付宝新漏洞:熟人可100%登录篡改你支付宝密码》的文章在市场上广为流传。据该文章披露,支付宝存在新漏洞:陌生人有1/5的机会登录你的支付宝,熟人则有100%的机会登录你的支付宝。
具体操作方法为,在“登录手机账号”环节选择“忘记密码”和“手机不在身边”,就可以绕开以短信验证码的方式进行验证;接下来,支付宝会提供一种熟人验证的选择,以“淘宝买过的东西9张图片选1个”和“好友验证9个好友图片选1个”来核验身份,只要选对就可以登录成功。
虽然有支付宝员工指出,选择图片时只能选择一次,选错就不能通过验证。但不少用户都反驳称,只要知道本人近期在淘宝买过的东西,以及有共同好友,就很容易完成,这样的验证方式安全性很低。加剧用户担忧的是,还有消息称,曾有用户在被熟人盗取了账号后,支付宝客服人员以“熟人作案,支付宝不予理赔”回应。
对此,1月10日上午,支付宝官微紧急回应称,通常情况下,用户找回登录密码至少需要输入手机短信验证码,只有对于部分暂时无法收到短信的用户或者更换移动设备的用户,风控系统才会先进行评估(比如账户信息完整程度、网络环境等因素),并在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。
随后,支付宝还补充表示,在接到网友反映后,支付宝已于10日上午进一步提高了风控系统安全等级。目前,仅在用户自己手机上才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式的。
业内人士建议关闭免密支付
对于“熟人作案 ,支付宝不予理赔”的说法,支付宝官方人士称这并不严谨。该人士表示,通常来说,只要是支付宝账户被盗刷,支付宝都会通过保险公司进行赔偿。另外,在实际生活中,熟人作案的可能性很低,非常容易被识破。
一位金融机构人士也对北京商报记者表示,陌生人1/5、熟人100%的两个概率过于夸张。这两个概率基于一个前提,即你的身边存在这么一个“坏人”且知道支付宝登录这个漏洞,这样他只要观察你最近买了什么东西就可以破解你的账户。
但身边存在这么一个“坏人”的概率并不大,其次,对方破解的只是登录密码而非支付密码,只能通过小额免密来盗窃小部分资金,更多的还是支付信息的泄露,实质财产损失的风险不大。
支付宝也对这一点进行了强调。支付宝称,这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码,且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。此外,支付宝密码分为登录密码和支付密码,就算登录密码被重置,支付密码也不会受到影响,用户资金安全还是可以得到保障。
还有业内人士“支招”,为避免任何一点资金受损,用户可以关闭小额免密功能。易观智库支付行业分析师王蓬博表示,用户遇到被盗刷的问题,要及时联系支付宝工作人员挂失或者按照提示将损失降低到最少;其次,用户尽可能不要开启小额免密支付功能,并在用完后随时解绑银行卡。
用户喊话:不要做社交了
在这次登录漏洞风波后,尽管支付宝做出了很多安全方面的保证,却依然难以完全打消用户担忧。一位市场人士指出,支付宝钱包功能的安全性漏洞无疑将降低用户对平台的信任度。
在支付宝官微回应的评论中,北京商报记者看到,被点赞最多的评论几乎都在指责支付宝过分想要在社交方面突围。在一个喊话支付宝“好好做支付,不要做社交!”的评论下,支付宝回应称,“你说的对”。
支付宝设置通过好友验证的这种方式,在业内人士看来,背后就是变相扩大社交功能的意图。中央财经大学金融法研究所所长黄震表示,社交成为一大软肋的支付宝是想通过这种方式增强社交性的色彩以弥补短板。不过一位安女士透露,她的支付宝好友名单中只有12个人,且仅是在“转过一次账之后就添加为好友了”,平日根本不会通过支付宝互相联系。
事实上,蚂蚁金服的社交突围战一直未曾停止。从旺旺、雅虎关系、来往、钉钉,到其投资的陌陌、微博等社交软件,都是阿里系的社交尝试,不过,尝试结果都不太理想。之后,蚂蚁金服想借助已经拥有广泛客群的支付宝寻求突破,从新增朋友和口碑,到首页新增生活圈,再到利用芝麻信用开启“圈子”,这些尝试均不太成功。
此前就曾有业内人士痛批,支付宝做社交最大的问题就是用户质疑为什么金融服务要混入社交属性,从用户的心理出发,会降低金融服务的安全性。本次登录漏洞风波爆发后,业内人士再次强调,封闭的财富管理和开放的社交存在矛盾,对支付企业而言,用户资金安全永远是第一位的。
(责任编辑:毕晓娟)