今日有網友發現了支付寶的一個致命漏洞，他人熟知你的支付寶個人信息后可以通過“找回密碼”功能登錄并篡改支付寶密碼。支付寶方面回應稱，這一方式僅在特定情況下才會實現，目前已進一步提高了風控系統的安全等級。

　　網上流傳的方法是，在打開支付寶登錄界面，輸入帳號后點擊忘記密碼，在重置登錄密碼中選擇無法接受短信，然后通過個人信息驗證即可“重置登錄密碼”。其中個人信息可能是識別好友、識別近期購買物品、真實姓名和身份證號等。

　　鳳凰科技已經用該方法，繞過密碼登錄，進入了兩個支付寶帳號。

　　支付寶在線上支付中需要支付密碼，但在當面掃碼付款中沒有防護手段。此外個人支付寶賬號中完整顯示了個人的真實信息，不法分子也可通過求好友轉賬等方式進行詐騙。

　　以下是支付寶方面的回應：

　　我們接到網友反映，稱可以通過識別好友、識別近期購買物品，來找回支付寶登錄密碼。

　　這一方式僅在特定情況下才會實現。通常情況下，用戶找回登錄密碼至少需要輸入手機短信驗證碼。對于部分暫時無法收到短信的用戶或者更換移動設備的用戶，我們的風控系統會先進行評估（比如賬戶信息完整程度、網絡環境等因素）。在安全系數較高的情況下，才讓用戶回答一系列安全問題，只有在回答正確后，才能修改登錄密碼。

　　這一策略只能找回登錄密碼，僅通過回答安全問題并無法找回支付密碼。且一旦用戶支付寶在其他設備被登錄，本人設備會收到通知提醒。

　　為了更好提升用戶的安全感，在接到網友反映后，我們于今日上午進一步提高了風控系統的安全等級。目前僅在用戶自己的手機上，才能通過識別近期購買商品以及識別本人好友來找回登錄密碼，通過其他手機設備是無法應用這一方式找回登錄密碼的。

　　我們也歡迎用戶繼續對我們的安全策略提出意見和建議，我們會根據大家的反饋進一步完善和修正。

責任編輯：陳愛