央廣網(wǎng)北京1月10日消息（記者陳璽宇）據(jù)經(jīng)濟(jì)之聲《天下公司》報道，上海市民Jack最近遇到一件怪事。他在家休息，突然來了一條短信。

　　Jack:“突然一長串號碼，發(fā)來一條短信，自稱是支付寶，里面有一個幾位數(shù)字的驗證碼。我也不知道這條短信要干嘛，上面就說給你這個驗證碼，不要把這個驗證碼給別人�！�

　　當(dāng)時他沒有操作支付寶，也沒有發(fā)現(xiàn)有任何異常，以為是電信詐騙之類的短信，所以沒有理會——后來發(fā)現(xiàn)是朋友惡作劇，登進(jìn)了他的支付寶賬戶。

　　恐怖的是，他并沒有把收到的驗證碼告訴朋友，也從來沒有告訴過任何人自己的支付寶密碼。

　　Jack:“我沒有給別人密碼、驗證碼，然后我朋友就登陸進(jìn)去了�！�

　　后來知道是朋友開玩笑，他松了一口氣，也去捉弄了自己的朋友。他說，利用支付寶安全漏洞去盜取熟人的支付寶賬號，非常容易。

　　Jack:“很簡單。第一步，我知道你的手機(jī)號，輸入你的手機(jī)號；第二步，如果你的手機(jī)號是支付寶賬號的話，就選‘忘記密碼’；第三步，系統(tǒng)讓我輸入短信驗證碼，選擇‘手機(jī)不在身邊’；第四步，系統(tǒng)會讓你選一個支付寶好友，很容易就選出來了，再選一個你最近購買過的商品，也很容易選出來。然后這個支付寶賬戶就讓我登陸進(jìn)去了�！�

　　天下公司隨后聯(lián)系了支付寶客服，對方告訴我們，支付寶重置密碼的規(guī)則的確是這樣，如果選擇“手機(jī)驗證”，輸入驗證碼就可以重置；如果選擇“手機(jī)不在身邊”，那么系統(tǒng)會生成身份認(rèn)證問題，比如選擇的支付寶好友，比如選擇最近購買過的商品。

　　隨后，越來越多的用戶在網(wǎng)絡(luò)上曝出自己支付寶賬號被盜的消息，天下公司第一時間聯(lián)系了支付寶方面。螞蟻金服公眾與客戶溝通部工作人員彭派告訴天下公司，目前已經(jīng)對支付寶密碼重置功能進(jìn)行了修改。

　　彭派：“目前僅在用戶自己的手機(jī)上，才能通過識別近期購買商品以及識別本人好友來找回登錄密碼，通過其他手機(jī)設(shè)備是無法應(yīng)用這一方式找回登錄密碼的�！�

　　盡管支付寶反復(fù)強(qiáng)調(diào)，這次問題的原因并非自身安全系統(tǒng)的bug，只是出于用戶方便考慮，保留了“手機(jī)不在身邊”的選擇，所以增加了潛在風(fēng)險。但業(yè)內(nèi)人士并不這么認(rèn)為。

　　獵豹移動安全工程師李鐵軍：“關(guān)鍵在于，他的賬戶驗證系統(tǒng)沒有對用戶的常用設(shè)備做驗證。業(yè)內(nèi)通行做法一般都會檢測用戶現(xiàn)在使用的設(shè)備是不是常用設(shè)備，在這個事件里這一關(guān)被繞過了，那出現(xiàn)了這樣的漏洞就不奇怪了�！�

　　李鐵軍表示，正常情況下，一些密級較高的服務(wù)，比如銀行卡的登錄、微信賬號的登錄，它們都有一個共同特征，就是會對用戶最常用的設(shè)備做一個驗證，你在常用手機(jī)上登錄的話，非常簡單，非常流暢，但如果換一個沒接觸過的設(shè)備來登錄，就會發(fā)現(xiàn)需要驗證的東西會很多。

　　此外，大家對于支付寶安全問題的另外一個爭議在于，驗證問題的選擇也欠缺考慮。用戶的支付寶好友和購物記錄，并非安全級別很高、隱私性極強(qiáng)的問題，特別是對于用戶身邊的人來說，比如同學(xué)、室友、同事，很容易就能找到正確答案。

　　除了強(qiáng)調(diào)互聯(lián)網(wǎng)公司的責(zé)任，對于普通用戶來說，保護(hù)自己的賬戶安全、信息安全，我們還能做些什么？李鐵軍說，要看好自己的手機(jī)，因為它是最后一道防線。

　　李鐵軍：“我們會發(fā)現(xiàn)，跟資金管理的應(yīng)用越來越多的是通過手機(jī)來完成，那么手機(jī)已經(jīng)成為用戶最關(guān)鍵的設(shè)備。不管什么情況，你的手機(jī)安全是第一步，它就是像你的大門的鑰匙一樣，用戶應(yīng)該保護(hù)好自己的手機(jī)，至少應(yīng)該要有一個鎖屏密碼；然后那些關(guān)鍵服務(wù)需要有一個第二道密碼，越復(fù)雜越好�！�