支付宝被曝出现“熟人 洞”。昨日一大早，有网友称可通过购物验证、好友验证等方式修改他人支付宝登录密码。支付宝昨日中午回应称已经修改，目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备无法应用这一方式找回登录密码。

购物识别、好友识别 洞已堵

1月10日上午，有网友声称发现“支付宝新 洞”，“陌生人有5分之一的机会登录你支付宝，熟人有百分之百机会登录你的支付宝”。按其描述，在选择登录手机账号时，选择忘记密码，并点击手机不在身边，然后勾选在淘宝中买过的一件东西，再选择一位好友图片进行验证，便可以成功登录。

对于上述方法，昨日有用户在微博上称，用自己手机去重置朋友的密码，结果成功“盗号”。还有多家媒体称按照该方法实现了对熟人支付宝密码的修改。

临近中午记者尝试通过朋友的手机登录自己的支付宝，在输入手机号后选择重置登录密码，期间支付宝会发送验证码信息至登录手机号。但除了电讯校验码之外，其他找回的方式有“回答安全问题”、“刷脸验证”、“验证本人银行卡信息”、“拨打验证电话”等四种方式，并未出现购买商品验证和好友识别等程序。

随后，记者又通过自己的手机进行上述操作，在好友识别中，系统则出现了9张人物的图片，成功勾选“认识的人”便可进入购物验证环节。与上一流程类似，在9张商品图片中勾选用户购买过的商品后，成功设置了新密码。

支付宝昨日中午通过官方微博回应称，上午已提高风控系统的安全等级，目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备无法应用这一方式找回登录密码。

无密码小额支付遭网友吐槽

对于支付宝出现上述 洞，昨日引发网络热议。有网友在支付宝官方微博上评论，表示“好好做支付宝，别做社交！”至记者截稿该评论得到了2142个点击。对此评论，支付宝回应称：“你说得对”。

不过，对于“熟人 洞”，支付宝方面表示，仅在特定情况下才会实现。“通常情况下，用户找回登录密码至少需要输入手机短信验证码，对于部分暂时无法收到短信的用户或者更换移动设备的用户，我们的风控系统会先进行评估。”

支付宝表示，在安全系数较高的情况下，才让用户回答一系列安全问题，然后修改登录密码。对此说法，有网友称，“你们看被盗是很小的概率，但是一旦发生对我们来说就是百分之百”。

此外，支付宝表示，“这一策略只能找回登录密码，仅通过回答安全问题并无法找回支付密码”。针对此说法，有网友吐槽了支付宝的“付款”功能，该功能无须输入支付密码，只需商家扫描支付宝二维码即可实现上限一千元的小额支付。

不少网友也表示类似的担忧，比如呼吁在商家扫码之后，多一个手机输入密码确认的环节。

■ 小贴士

移动支付“安全险”热销