前段时间，各家媒体报道微信区支付宝账号被大规模盗取，并且修改密码后密码依然被盗（可点击文末链接查看报道）。

聂老师看完这篇文章后进行了实际测试，发现这个问题确实存在。 请大家赶紧查账！

案例还原测试

昨晚，有网友爆料，丢失支付宝账号和密码后，发现更改密码无效，手机仍会被强制离线，从而引发后续诈骗事件。

根据情况进行了实际测试。 这里先说测试过程，然后说结论（结论在文末倒数第二段）。

拿三部手机，第一部是经常登录的手机（假设是用户手机，型号是苹果），第二部和第三部手机都是小偷的手机（称为：手机A） 、手机B，均为）。

三台测试手机均下载了最新版本的客户端，版本为9.9.7，已于11月24日更新。

开始测试（首先需要获取用户的登录信息，这个太高级了，聂不知道怎么做，所以用自己的账号来做测试）

1. 在手机上登录支付宝账户。 一切正常（账户名是淘宝账户，假设是aaa，后面会用这个来登录）。

2、犯罪分子使用手机A登录支付宝账户aaa。 支付宝会认为是新设备，提示您选择回答问题进行登录。经过反复登录测试，提示的几个问题是：

A.您已购买的产品； （9个选项）；

B. 您可能认识的人； （他们当中我几乎没有朋友）（6个选项）；

C、你登录过的WIFI（6个选项，这个问题我根本不知道，所以只是猜测答案）；

说实话，聂总的账号是给别人用的，我基本不用，所以只是猜测产品和WIFI。 我的朋友很少。 我没想到这一点。 我一看就知道是谁。

支付宝的风控在此起到了一定的作用，但后续并没有完全发挥作用。

第一次回答错误后，支付宝向绑定的手机发送短信，要求短信验证（此被忽略，未使用）；

这时候你可以关闭程序，重新登录，仍然选择回答问题来登录。很巧的是，两次尝试后都可以登录（当然，也有可能登录不上） ）；

3、犯罪分子使用C手机（第三部手机）登录支付宝账户aaa。 词姐太棒了！ 没有任何问题提示，所以我就进去了！

难道支付宝认为我的账号是用来登录新设备的，所以取消了新设备验证？

4、接下来的操作就简单了。 支付宝最高可设置2000元免密码账户，随心所欲购物；

5、此时，犯罪分子成功登录后，用户手机会出现如下图所示的提示，提示其下线，要求其重新登录。 用户一般都是直接登录，然后修改密码（修改淘宝用户aaa对应的密码），但并没有什么用。 。 。

6、犯罪分子使用手机C，仍使用未修改的用户密码。 用户继续成功登录，无需其他验证。 然后用户手机提示强制注销。

问题出在哪里？

那么，问题来了？ ！

为什么修改密码后还是用原密码登录？

聂先生仔细查看了自己的账户，发现有两个登录用户名（如下图）

一个是淘宝用户名aaa，另一个是单独的支付宝用户名bbb。

（历史问题，支付宝和淘宝很早就分开了，很多用户的用户名也采用了分开的方案，后来又合并了）

使用淘宝用户名aaa登录后，bbb对应的密码被修改。 您可以自己尝试一下。

使用 aaa 登录。 更改登录密码后，aaa无法登录，支付宝会自动将登录用户名切换为bbb，然后使用微信码登录成功！

（更改密码后一般不会提示重新登录，因此用户并不知道更改后的密码）

难道这就是用户被盗后，登录后修改密码失效的秘密？

希望支付宝更加重视支付安全，尽快修复该漏洞！

在这种情况下，用户很难向支付宝索赔。 。 。 为什么！ ！ ！

互联网金融不是你想爱就能爱的。 。 。

保护您的个人手机、账户和其他信息不被泄露始终很重要。 大家还是小心一点比较好。 。 。