“隻要知道你支付寶裡的好友，或者你最近在淘寶買了什麼，就能隨意更改你的支付寶登錄密碼。”昨日，一則名為《網曝支付寶新漏洞：熟人可100%登錄篡改你支付寶密碼》的報道，在各大論壇上引爆關注度。熟人，在這一瞬間似乎變成了帶有“馬賽克”的黑衣人，讓所有支付寶使用者惴惴不安。不過，在此問題曝出之后，支付寶隨即提高安全等級。但是一場安全性與便捷性平衡的話題，再度被推上了輿論的制高點。

　　網曝 登錄密碼被疑熟人可改

　　據此前媒體報道稱，支付寶存在一個致命漏洞，即他人可以通過支付寶的“找回密碼”重置你的支付寶登錄密碼，並表示“陌生人有1/5的機會登錄你的支付寶，而熟人甚至100%可以登錄你的支付寶”。

　　實際上，在新設備上登錄支付寶時，通常需要用戶重新輸入密碼才能進入支付寶。不過，在輸入密碼時，密碼框下有一個“找回密碼”的按鈕。點擊按鈕之后，支付寶提供多種找回密碼的方式，除了發送手機驗証碼之外，還有識別最近購買的東西或識別好友、回答安全性問題等選項。而后兩者則主要是在“無法收到手機短信”的前提下進行的。

　　也就是說，如果別人知道最近你的購買記錄、知道你的好友是誰，或者你設置的問題別人全部知道，就有可能通過這樣的設定來修改支付寶的登錄密碼。

　　回應 支付寶迅速提高安全等級

　　對此，支付寶負責人向北京晨報記者回應，這一方式僅在特定情況下才會實現，這一策略隻能找回登錄密碼，僅通過回答安全問題並無法找回支付密碼，不能完成支付。而所謂的特定條件，是支付寶會先對網絡環境、賬戶信息完整程度等進行評估，安全系數高的情況下才會啟動。且一旦用戶支付寶在其他設備被登錄，本人設備會收到通知提醒。

　　不過，盡管對於自身安全體系信心滿滿，支付寶還是在昨日上午就提高了安全等級。目前僅在用戶自己的手機上，才能通過識別近期購買商品以及識別本人好友來找回登錄密碼，通過其他手機設備是無法應用這一方式找回登錄密碼的。

　　進展 暫無因此失竊案例

　　支付寶表示，目前暫時還未收到因此而失竊的案例。那麼支付寶安全事件又是否存在足以“致命”的隱患？

　　一位支付安全領域資深人士向北京晨報記者表示，如果這些信息別人都知道，的確有被盜的可能性。但他對於報道中所提及盜用數據有所質疑，他認為這還需要進一步的論証才能評判。“從以往的盜刷案件來講，實行詐騙的往往會隱匿身份，熟人詐騙的可能性相對較低。”

　　在他看來，這樣的問題是否“致命”，也要看在登錄后是否擁有動用資金的權限。也就是說，如果登錄之后可以大規模挪用資金，那麼其安全風險就相當巨大。

　　對此支付寶表示，支付寶有兩套密碼體系，找回登錄密碼並不意味著能夠找回支付密碼。而在新設備登錄后，即便是小額免密環節，也需要重新輸入支付密碼才能夠繼續使用。

　　分析 隱私保護不夠致恐慌

　　既然並非是“致命”漏洞，為何還會引起如此巨大的社會關注？

　　支付安全領域資深人士表示，這可能源於原本“一對一”的認証信息被泛化了，所以引發了用戶的不安。“比如密碼或者手機驗証信息，隻有用戶知道。但你購買了什麼東西，或者你的好友有誰，很可能在不經意間將信息共享給了別人。”該資深人士解釋道，知道答案的人不唯一，就出現了上述問題。

　　不過，在上海交通大學密碼與計算機安全實驗室主任谷大武看來，支付安全應該是“安全”與“隱私”並重，但往往在當下用戶對於后者並不重視。“中國用戶對於自己消費信息等隱私的保護不夠，也造成了當下的恐慌。”

　　谷大武認為，其實這也是安全性與便捷性平衡的問題。支付安全與便捷性是矛盾的，一味追求安全，則可能導致在真實場景下不可用﹔但便捷性則可能會讓安全性受損。而支付寶此次涉及到的內容，很可能是源於便捷性的探索。

　　■鏈接

　　3年前數據還在黑市交易

　　網絡賬戶的安全挑戰來自於多個方面。比如，平台本身設計存在漏洞，黑客攻擊，甚至安全軟件“監守自盜”等。

　　針對出現在地下黑色產業鏈中採用黑客攻擊用戶賬戶、盜取用戶賬號資產和販賣用戶信息等不法行為，很多互聯網公司都與警方建立了長效的合作機制。然而，數據被不斷地在黑市交易，讓賬戶風險陰魂不散。

　　“不管什麼原因，信息一旦泄露，就像撕開了一個口子。進入地下黑色產業鏈后，更可能被多次販賣。也就是說三四年前泄露的數據，可能現在還在賣。”一位電商人士向記者表示。

　　在大部分數據外泄后，黑客會先進行洗庫,登錄賬戶將有價值的內容清洗一遍，比如登錄游戲賬戶將虛擬幣轉走，或將QQ號倒賣。第二次“洗”是對於個人信息的收集，有些賬戶可能包括個人信息內容，這些會賣給那些需要的人﹔第三次“洗”是關聯手機號的信息，賣給轉發垃圾短信的，這樣一層層“洗”下去直到沒有價值為止，才會將數據出售。

　　在“黑市”，用戶的數據被“明碼標價”。據媒體報道，比如12G的數據包價格從“10萬到70萬”不等，每位用戶的個人敏感信息平均隻值1分錢。

　　提醒

　　遇到泄露的情況要立即修改賬號密碼﹔

　　支付賬號、社交賬號、常用郵箱、網絡購物這些網站要單獨設置密碼﹔

　　不要在不常用的、安全系數較低的網站設置與自己主要網站賬號相同的密碼﹔

　　接到陌生人或者客服電話不要輕信﹔

　　每隔三個月就要對密碼進行一次修改，防止黑客撞庫等。

　　■記者手記

　　糾結“証明我是我”

　　不如完善追回機制

　　網上對於支付寶安全性的質疑，說得高端一些是“認証核實”的問題，但說通俗一些，又是那個老生常談的“如何証明我是我”的問題，隻不過這次是在網上。

　　其實，這在互聯網金融安全領域而言是個難題：在信息泄露嚴重的時代，在線下都很難証明的事情，搬到網上去証明，難度可想而知。但這又是個不得不做的事情，畢竟真實“忘記密碼”的需求還是存在的。

　　誠如谷大武所言，支付安全與便捷性是天生矛盾的。在當下，除了運用可信的第三方（如通過電信公司發送短信驗証碼）之外，似乎並沒有太多技術可用。當然，谷大武也表示，如果未來電子身份証得以普及，可能將是解決這個問題的鑰匙，但這是后話。

　　其實與其糾結如何在網絡上証明“我就是我”，不如轉換一種思路。實際上，放眼海外，很多人使用信用卡並不設置密碼。當然，銀行卡現在以IC卡芯片為主，其不可復制性自身就已經在事前形成一道安全壁壘。但如果發生盜刷，其事后完善的追回機制，也讓持卡人更加放心地使用。

　　如果放在互聯網支付時代，這無疑是個極好的事例。在一筆交易發生前，現在已經擁有了密碼等安全措施作為保障。而交易過程中，互聯網平台是否能夠及時監控風險和異常，比如銀聯在免密時設置了“商鋪白名單”，從而阻絕可能發生的盜刷情況﹔交易結束后，如果發生盜刷情況，是否有完備的追回機制和賠償手段，比如說支付寶的盜刷險等，都能夠促進消費者對於安全的認可。

　　所以筆者認為，在網上解決“証明我是我”的問題，不僅需要金融基礎設施建設的進一步加快，也需要支付企業真正形成可行優質的事前、事中、事后可追溯的機制，才能更好地解決安全與便捷性之間的問題。（記者 姜樊 劉映花）

分享讓更多人看到