然而就在今天早上（10日）

“熟人可以重置支付宝密码”的消息引爆网络

有网友透露

支付宝出现新漏洞

陌生人有机会登录您的支付宝

有 100% 的机会熟人会登录你的支付宝

据网友介绍，其原理是这样的：

登录您的手机账户 - 忘记密码 - 您的手机不在身边 - 从您在淘宝购买的商品的 9 张图片中选择 1 张 - 从 9 张好友图片中选择 1 张进行好友验证 - 登录成功。此时，您可以直接扫描二维码进行支付，无需密码。

有网友测试了整个过程

随后，记者进行了多次测试

以下测试基于我的手机

密码找回测试

第一次按照网友提示的界面步骤找回密码时，出现了两张图片问题。第一个是从九宫格找你认识的人，第二个是让记者了解一下我最近买了什么。 。

有些人的问题2会弹出常用wifi或者地址的问题。

或者

如果你是熟人，这两个问题确实可以回答。可怕的是，点击下一步就可以直接走！抓住！甚至！改变！稠密！代码！

不过，当记者进行第二次、第三次测试找回密码时，这两个问题并没有再次出现。取而代之的是，另一个界面出现了……

其中有修改“身份证”和“银行卡信息”（我给老板买了票，给同事转账……），我当着他们的面改了他们的支付宝密码（我的老板在我的后面）现在回来）看着我打出这些字，我在想写完这篇稿子我会不会失业）：

目前尚不清楚是因为支付宝在检测支付环境后改变了检索方式，还是这种检索方式只能使用一次。

经过很多人的反复测试，才知道这件事是否可以改变。有的账号一开始就无法使用，有的账号尝试一次就没有了。

当我用这种方法修改家人的密码时，我立刻就失去了对支付宝的信任。

多么可怕啊！

关键是朋友们开始玩这个危险的游戏了！ ！ ！ ！

登录支付宝后，可以直接使用支付码进行支付，还可以删除支付宝账单，还可以使用完整的银行卡号修改支付密码。支付宝的支付路径还包括银行卡、花呗、支付码、余额宝、无密码支付等。

蚂蚁金服回应：

完善风控体系，提高安全水平。

今天上午（10日），针对上述情况，蚂蚁金服向南都记者回应称，已做出改善。提升风控体系安全水平。目前，只有在用户自己的手机上，可以通过识别最近购买的商品和识别好友来找回登录密码。该方法无法通过其他移动设备找回登录密码。

回复全文——

这种方法只有在某些情况下才可行。一般情况下，用户至少需要输入手机短信验证码才能找回登录密码。对于部分暂时无法接收短信或更换了移动设备的用户，我们的风控系统会首先进行评估（如账户信息的完整性、网络环境等因素）。当安全系数较高时，用户会被要求回答一系列安全问题。只有回答正确后才能更改登录密码。

该策略只能通过回答安全问题来恢复登录密码，而不能恢复支付密码。并且一旦用户的支付宝在其他设备上登录，个人设备就会收到通知提醒。

为了更好地增强用户的安全感，在收到网友反馈后，我们进一步提升了风控系统的安全级别。目前，只有在用户自己的手机上，可以通过识别最近购买的商品和识别好友来找回登录密码。该方法无法通过其他移动设备找回登录密码。

我们也欢迎用户继续对我们的安全政策提出意见和建议，我们将根据您的反馈进一步完善和修改。

有互联网从业者表示，这是一个P0级漏洞，并给出了一些补救措施——

有朋友进一步向记者透露，除了支付宝密码找回漏洞之外，朋友通过手机找回淘宝APP密码也更容易……

如果您的手机（同一设备）被朋友、亲戚或陌生人拿到，请打开淘宝APP并选择“找回密码”。您可以随时重置密码，无需短信或问题验证...

我们应该注意什么，应该做什么...

1、爱护您的手机；可以看到，很多互联网企业的安全防控都与操作设备有关。如果您的手机被借给他人、遗弃或丢失，请时刻注意您的账户安全；

2、开启短信验证，随时关注；在此前的操作中，南杜军多次提示接收短信。我要说明的是，其他人执行的这些操作对于用户来说并不是完全盲目的。只要收到异常短信（收到验证码并提示异地登录），迅速修改密码，提高账户安全性；

3.考虑为自己的账户安全投保。如果您发现登录异常或交易异常，请尽快打开支付宝急救包——

找回密码的经历各有不同，这是可以理解的，但随着网络欺诈、诈骗行为的频繁发生，让在线支付环境更加私密和安全才能赢得更多用户。我们希望，经过今天上午的“全国黑客”事件后，各大网络支付、交易平台能够进一步检讨自己的一系列安全防控措施，让用户放心。