1月10日凌晨，有网友在知乎爆料称支付宝存在一个“致命漏洞”：陌生人有1/5的机会登录你的支付宝，熟人甚至能100%可以登录你的支付宝。而且登录支付宝账户后，可以直接更改密码。

根据该知乎网友的截图，只需四步熟人即可登录并篡改你的支付宝密码：1、打开支付宝登录界面，输入账号后点击忘记密码；2、输入账号后点无法接收短信；3验证方式选择熟人验证；4、更改密码。

解放日报·上观新闻记者测试后发现，除了“熟人认证”，支付宝还有“近期购买物品认证”这一密码找回方式。两者是指让用户从9张图片中选择“熟人”或“近期购买的物品”。对于熟人来说，确实有机会从9张图片中选出与账户主人相关的头像。

对于这一漏洞，支付宝进行了回应，表示通过识别好友、识别近期购买物品来找回支付宝登录密码，“仅在特定情况下才会实现”。

支付宝称，通常情况下，用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户，风控系统会先进行评估（比如账户信息完整程度、网络环境等因素）。在安全系数较高的情况下，才让用户回答一系列安全问题，只有在回答正确后，才能修改登录密码。

此外，支付宝还强调，回答安全问题等方式只能找回登录密码，但无法找回支付密码。同时，一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。

支付宝虽然没有在声明中承认漏洞，但也表示已经根据网友的反映，在1月10日上午提高了风控系统的安全等级：“目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的”。

随着互联网金融的兴起，网上支付安全问题越来越受到重视。面对被陌生人或熟人登录账户的风险，安全专家表示，账户所有者应当熟悉网上账户的挂失等方式。

例如，如果用户突然收到支付宝发来的验证码短信，说明有人尝试登录支付宝账号，可以立刻进入支付宝客户端，通过“我的--设置-账户与安全-安全中心-急救包-快速挂失”或拨打支付宝服务热线95188进行挂失；如果是微信账户，可以通过“我-设置-帐号与安全-微信安全中心-冻结帐号”或拨打微信紧急冻结电话95017进行账户冻结。以上举措能够阻碍任何人登录你的账号，并且阻止资金转入流出。

（编辑邮箱：sh_chuangke@163.com）题图来源:视觉中国  图片编辑:周寅杰