央廣網(wǎng)北京1月10日消息（記者陳璽宇）據(jù)經(jīng)濟(jì)之聲《天下公司》報(bào)道，上海市民Jack最近遇到一件怪事。他在家休息，突然來(lái)了一條短信。

　　Jack:“突然一長(zhǎng)串號(hào)碼，發(fā)來(lái)一條短信，自稱是支付寶，里面有一個(gè)幾位數(shù)字的驗(yàn)證碼。我也不知道這條短信要干嘛，上面就說(shuō)給你這個(gè)驗(yàn)證碼，不要把這個(gè)驗(yàn)證碼給別人�！�

　　當(dāng)時(shí)他沒(méi)有操作支付寶，也沒(méi)有發(fā)現(xiàn)有任何異常，以為是電信詐騙之類(lèi)的短信，所以沒(méi)有理會(huì)——后來(lái)發(fā)現(xiàn)是朋友惡作劇，登進(jìn)了他的支付寶賬戶。

　　恐怖的是，他并沒(méi)有把收到的驗(yàn)證碼告訴朋友，也從來(lái)沒(méi)有告訴過(guò)任何人自己的支付寶密碼。

　　Jack:“我沒(méi)有給別人密碼、驗(yàn)證碼，然后我朋友就登陸進(jìn)去了�！�

　　后來(lái)知道是朋友開(kāi)玩笑，他松了一口氣，也去捉弄了自己的朋友。他說(shuō)，利用支付寶安全漏洞去盜取熟人的支付寶賬號(hào)，非常容易。

　　Jack:“很簡(jiǎn)單。第一步，我知道你的手機(jī)號(hào)，輸入你的手機(jī)號(hào)；第二步，如果你的手機(jī)號(hào)是支付寶賬號(hào)的話，就選‘忘記密碼’；第三步，系統(tǒng)讓我輸入短信驗(yàn)證碼，選擇‘手機(jī)不在身邊’；第四步，系統(tǒng)會(huì)讓你選一個(gè)支付寶好友，很容易就選出來(lái)了，再選一個(gè)你最近購(gòu)買(mǎi)過(guò)的商品，也很容易選出來(lái)。然后這個(gè)支付寶賬戶就讓我登陸進(jìn)去了�！�

　　天下公司隨后聯(lián)系了支付寶客服，對(duì)方告訴我們，支付寶重置密碼的規(guī)則的確是這樣，如果選擇“手機(jī)驗(yàn)證”，輸入驗(yàn)證碼就可以重置；如果選擇“手機(jī)不在身邊”，那么系統(tǒng)會(huì)生成身份認(rèn)證問(wèn)題，比如選擇的支付寶好友，比如選擇最近購(gòu)買(mǎi)過(guò)的商品。

　　隨后，越來(lái)越多的用戶在網(wǎng)絡(luò)上曝出自己支付寶賬號(hào)被盜的消息，天下公司第一時(shí)間聯(lián)系了支付寶方面。螞蟻金服公眾與客戶溝通部工作人員彭派告訴天下公司，目前已經(jīng)對(duì)支付寶密碼重置功能進(jìn)行了修改。

　　彭派：“目前僅在用戶自己的手機(jī)上，才能通過(guò)識(shí)別近期購(gòu)買(mǎi)商品以及識(shí)別本人好友來(lái)找回登錄密碼，通過(guò)其他手機(jī)設(shè)備是無(wú)法應(yīng)用這一方式找回登錄密碼的�！�

　　盡管支付寶反復(fù)強(qiáng)調(diào)，這次問(wèn)題的原因并非自身安全系統(tǒng)的bug，只是出于用戶方便考慮，保留了“手機(jī)不在身邊”的選擇，所以增加了潛在風(fēng)險(xiǎn)。但業(yè)內(nèi)人士并不這么認(rèn)為。

　　獵豹移動(dòng)安全工程師李鐵軍：“關(guān)鍵在于，他的賬戶驗(yàn)證系統(tǒng)沒(méi)有對(duì)用戶的常用設(shè)備做驗(yàn)證。業(yè)內(nèi)通行做法一般都會(huì)檢測(cè)用戶現(xiàn)在使用的設(shè)備是不是常用設(shè)備，在這個(gè)事件里這一關(guān)被繞過(guò)了，那出現(xiàn)了這樣的漏洞就不奇怪了�！�

　　李鐵軍表示，正常情況下，一些密級(jí)較高的服務(wù)，比如銀行卡的登錄、微信賬號(hào)的登錄，它們都有一個(gè)共同特征，就是會(huì)對(duì)用戶最常用的設(shè)備做一個(gè)驗(yàn)證，你在常用手機(jī)上登錄的話，非常簡(jiǎn)單，非常流暢，但如果換一個(gè)沒(méi)接觸過(guò)的設(shè)備來(lái)登錄，就會(huì)發(fā)現(xiàn)需要驗(yàn)證的東西會(huì)很多。

　　此外，大家對(duì)于支付寶安全問(wèn)題的另外一個(gè)爭(zhēng)議在于，驗(yàn)證問(wèn)題的選擇也欠缺考慮。用戶的支付寶好友和購(gòu)物記錄，并非安全級(jí)別很高、隱私性極強(qiáng)的問(wèn)題，特別是對(duì)于用戶身邊的人來(lái)說(shuō)，比如同學(xué)、室友、同事，很容易就能找到正確答案。

　　除了強(qiáng)調(diào)互聯(lián)網(wǎng)公司的責(zé)任，對(duì)于普通用戶來(lái)說(shuō)，保護(hù)自己的賬戶安全、信息安全，我們還能做些什么？李鐵軍說(shuō)，要看好自己的手機(jī)，因?yàn)樗�是最后一道防線。

　　李鐵軍：“我們會(huì)發(fā)現(xiàn)，跟資金管理的應(yīng)用越來(lái)越多的是通過(guò)手機(jī)來(lái)完成，那么手機(jī)已經(jīng)成為用戶最關(guān)鍵的設(shè)備。不管什么情況，你的手機(jī)安全是第一步，它就是像你的大門(mén)的鑰匙一樣，用戶應(yīng)該保護(hù)好自己的手機(jī)，至少應(yīng)該要有一個(gè)鎖屏密碼；然后那些關(guān)鍵服務(wù)需要有一個(gè)第二道密碼，越復(fù)雜越好�！�