支付宝爆出安全漏洞，熟人很大几率上能登陆账户并篡改你的密码

正文

请到「今天看啥」查看全文

按网友的说法，原理是这样的，首先在支付宝登录页面登录手机账号，选择忘记密码，再选择手机不在身边，这时支付宝就会开启验证功能，具体会要求你在 9 张图片中选择一款在淘宝购买过的产品，然后再在 9 个头像中选择一个好友，两项验证都成功既登录成功。

而在这里，解锁密码需要的必备条件只有三个， 你的电话、你买过的东西和你的好朋友 ，那谁会有可能知道这些信息呢？目前来说就已经有 淘宝卖家、快递小哥、你的同事和你的朋友 这几个选项了。怎么样，是不是开始有一种浑身发冷的感觉了？

但是别怕，漏洞爆出的时间是在 1 月 10 日的凌晨，基本上有一小批人已经在支付宝解决这个漏洞前就尝试了一把当黑客的感觉了。但是现在，支付宝应急部门想必已经起床，此时你再尝试，就只能通过下图的几种方式来验证了，恩，看起来是不是安全了很多。

但虽如此，我却真的被吓到了，如上述所说，支付宝几乎就是我的全部身家了，而这也让我第一次意识到，支付宝已经不仅是一个手机 App 了，包括微信支付，它们就是手机上的银行卡，不，信用卡，是分分钟丢掉就可能被人盗刷威胁财产安全的存在。

我非常赞同知乎用户惊云在「怎么看待支付宝的熟人可以登录并篡改你支付宝密码的特性？」这一问题下的回答。

平心而论，支付宝在支付找回密码这块功能的产品经理做错了吗？没有。考虑到手机不在的情况，通过个人隐私信息来找回密码，其实是非常方便和有效的。然而，支付宝忘记了它本身捆绑的，与之核心功能相矛盾的社交功能。于是，我可以看到你平时买了啥，看到你平时买的东西分享了啥，我在现实中也可以知道你买了啥，可以看到你拆开包裹获得了啥。店家和快递员可以得到你的微信号，淘宝号，甚至也知道你买了啥。

请到「今天看啥」查看全文