央廣網(wǎng)北京1月10日消息（記者陳璽宇）據(jù)經(jīng)濟(jì)之聲《天下公司》報(bào)道，上海市民Jack最近遇到一件怪事,。他在家休息，突然來(lái)了一條短信,。

Jack:“突然一長(zhǎng)串號(hào)碼，發(fā)來(lái)一條短信,，自稱是支付寶,，里面有一個(gè)幾位數(shù)字的驗(yàn)證碼。我也不知道這條短信要干嘛,，上面就說(shuō)給你這個(gè)驗(yàn)證碼,，不要把這個(gè)驗(yàn)證碼給別人?！?/p>

當(dāng)時(shí)他沒(méi)有操作支付寶,，也沒(méi)有發(fā)現(xiàn)有任何異常,，以為是電信詐騙之類的短信，所以沒(méi)有理會(huì)——后來(lái)發(fā)現(xiàn)是朋友惡作劇,，登進(jìn)了他的支付寶賬戶,。

恐怖的是,，他并沒(méi)有把收到的驗(yàn)證碼告訴朋友,，也從來(lái)沒(méi)有告訴過(guò)任何人自己的支付寶密碼。

Jack:“我沒(méi)有給別人密碼,、驗(yàn)證碼,，然后我朋友就登陸進(jìn)去了?！?/p>

后來(lái)知道是朋友開(kāi)玩笑,，他松了一口氣，也去捉弄了自己的朋友,。他說(shuō),，利用支付寶安全漏洞去盜取熟人的支付寶賬號(hào)，非常容易,。

Jack:“很簡(jiǎn)單,。第一步，我知道你的手機(jī)號(hào),，輸入你的手機(jī)號(hào),；第二步，如果你的手機(jī)號(hào)是支付寶賬號(hào)的話,，就選‘忘記密碼’,；第三步，系統(tǒng)讓我輸入短信驗(yàn)證碼,，選擇‘手機(jī)不在身邊’,；第四步，系統(tǒng)會(huì)讓你選一個(gè)支付寶好友,，很容易就選出來(lái)了,，再選一個(gè)你最近購(gòu)買過(guò)的商品，也很容易選出來(lái),。然后這個(gè)支付寶賬戶就讓我登陸進(jìn)去了,。”

天下公司隨后聯(lián)系了支付寶客服,，對(duì)方告訴我們,，支付寶重置密碼的規(guī)則的確是這樣，如果選擇“手機(jī)驗(yàn)證”,，輸入驗(yàn)證碼就可以重置,；如果選擇“手機(jī)不在身邊”,，那么系統(tǒng)會(huì)生成身份認(rèn)證問(wèn)題，比如選擇的支付寶好友,，比如選擇最近購(gòu)買過(guò)的商品,。

隨后，越來(lái)越多的用戶在網(wǎng)絡(luò)上曝出自己支付寶賬號(hào)被盜的消息,，天下公司第一時(shí)間聯(lián)系了支付寶方面,。螞蟻金服公眾與客戶溝通部工作人員彭派告訴天下公司，目前已經(jīng)對(duì)支付寶密碼重置功能進(jìn)行了修改,。

彭派：“目前僅在用戶自己的手機(jī)上,，才能通過(guò)識(shí)別近期購(gòu)買商品以及識(shí)別本人好友來(lái)找回登錄密碼，通過(guò)其他手機(jī)設(shè)備是無(wú)法應(yīng)用這一方式找回登錄密碼的,?！?/p>

盡管支付寶反復(fù)強(qiáng)調(diào)，這次問(wèn)題的原因并非自身安全系統(tǒng)的bug,，只是出于用戶方便考慮,，保留了“手機(jī)不在身邊”的選擇，所以增加了潛在風(fēng)險(xiǎn),。但業(yè)內(nèi)人士并不這么認(rèn)為,。

獵豹移動(dòng)安全工程師李鐵軍：“關(guān)鍵在于，他的賬戶驗(yàn)證系統(tǒng)沒(méi)有對(duì)用戶的常用設(shè)備做驗(yàn)證,。業(yè)內(nèi)通行做法一般都會(huì)檢測(cè)用戶現(xiàn)在使用的設(shè)備是不是常用設(shè)備,，在這個(gè)事件里這一關(guān)被繞過(guò)了，那出現(xiàn)了這樣的漏洞就不奇怪了,?！?/p>

李鐵軍表示，正常情況下,，一些密級(jí)較高的服務(wù),，比如銀行卡的登錄、微信賬號(hào)的登錄,，它們都有一個(gè)共同特征,，就是會(huì)對(duì)用戶最常用的設(shè)備做一個(gè)驗(yàn)證，你在常用手機(jī)上登錄的話,，非常簡(jiǎn)單,，非常流暢，但如果換一個(gè)沒(méi)接觸過(guò)的設(shè)備來(lái)登錄,，就會(huì)發(fā)現(xiàn)需要驗(yàn)證的東西會(huì)很多,。

此外，大家對(duì)于支付寶安全問(wèn)題的另外一個(gè)爭(zhēng)議在于,，驗(yàn)證問(wèn)題的選擇也欠缺考慮,。用戶的支付寶好友和購(gòu)物記錄,，并非安全級(jí)別很高、隱私性極強(qiáng)的問(wèn)題,，特別是對(duì)于用戶身邊的人來(lái)說(shuō),，比如同學(xué)、室友,、同事,，很容易就能找到正確答案。

除了強(qiáng)調(diào)互聯(lián)網(wǎng)公司的責(zé)任,，對(duì)于普通用戶來(lái)說(shuō),，保護(hù)自己的賬戶安全,、信息安全,，我們還能做些什么？李鐵軍說(shuō),，要看好自己的手機(jī),，因?yàn)樗亲詈笠坏婪谰€。

李鐵軍：“我們會(huì)發(fā)現(xiàn),，跟資金管理的應(yīng)用越來(lái)越多的是通過(guò)手機(jī)來(lái)完成,，那么手機(jī)已經(jīng)成為用戶最關(guān)鍵的設(shè)備。不管什么情況,，你的手機(jī)安全是第一步,，它就是像你的大門(mén)的鑰匙一樣，用戶應(yīng)該保護(hù)好自己的手機(jī),，至少應(yīng)該要有一個(gè)鎖屏密碼,；然后那些關(guān)鍵服務(wù)需要有一個(gè)第二道密碼，越復(fù)雜越好,?！?/p>