央廣網北京1月10日消息（記者陳璽宇）據經濟之聲《天下公司》報道，上海市民Jack最近遇到一件怪事。他在家休息，突然來了一條短信。

　　Jack:“突然一長串號碼，發來一條短信，自稱是支付寶，里面有一個幾位數字的驗證碼。我也不知道這條短信要干嘛，上面就說給你這個驗證碼，不要把這個驗證碼給別人。”

　　當時他沒有操作支付寶，也沒有發現有任何異常，以為是電信詐騙之類的短信，所以沒有理會——后來發現是朋友惡作劇，登進了他的支付寶賬戶。

　　恐怖的是，他并沒有把收到的驗證碼告訴朋友，也從來沒有告訴過任何人自己的支付寶密碼。

　　Jack:“我沒有給別人密碼、驗證碼，然后我朋友就登陸進去了。”

　　后來知道是朋友開玩笑，他松了一口氣，也去捉弄了自己的朋友。他說，利用支付寶安全漏洞去盜取熟人的支付寶賬號，非常容易。

　　Jack:“很簡單。第一步，我知道你的手機號，輸入你的手機號；第二步，如果你的手機號是支付寶賬號的話，就選‘忘記密碼’；第三步，系統讓我輸入短信驗證碼，選擇‘手機不在身邊’；第四步，系統會讓你選一個支付寶好友，很容易就選出來了，再選一個你最近購買過的商品，也很容易選出來。然后這個支付寶賬戶就讓我登陸進去了。”

　　天下公司隨后聯系了支付寶客服，對方告訴我們，支付寶重置密碼的規則的確是這樣，如果選擇“手機驗證”，輸入驗證碼就可以重置；如果選擇“手機不在身邊”，那么系統會生成身份認證問題，比如選擇的支付寶好友，比如選擇最近購買過的商品。

　　隨后，越來越多的用戶在網絡上曝出自己支付寶賬號被盜的消息，天下公司第一時間聯系了支付寶方面。螞蟻金服公眾與客戶溝通部工作人員彭派告訴天下公司，目前已經對支付寶密碼重置功能進行了修改。

　　彭派：“目前僅在用戶自己的手機上，才能通過識別近期購買商品以及識別本人好友來找回登錄密碼，通過其他手機設備是無法應用這一方式找回登錄密碼的。”

　　盡管支付寶反復強調，這次問題的原因并非自身安全系統的bug，只是出于用戶方便考慮，保留了“手機不在身邊”的選擇，所以增加了潛在風險。但業內人士并不這么認為。

　　獵豹移動安全工程師李鐵軍：“關鍵在于，他的賬戶驗證系統沒有對用戶的常用設備做驗證。業內通行做法一般都會檢測用戶現在使用的設備是不是常用設備，在這個事件里這一關被繞過了，那出現了這樣的漏洞就不奇怪了。”

　　李鐵軍表示，正常情況下，一些密級較高的服務，比如銀行卡的登錄、微信賬號的登錄，它們都有一個共同特征，就是會對用戶最常用的設備做一個驗證，你在常用手機上登錄的話，非常簡單，非常流暢，但如果換一個沒接觸過的設備來登錄，就會發現需要驗證的東西會很多。

　　此外，大家對于支付寶安全問題的另外一個爭議在于，驗證問題的選擇也欠缺考慮。用戶的支付寶好友和購物記錄，并非安全級別很高、隱私性極強的問題，特別是對于用戶身邊的人來說，比如同學、室友、同事，很容易就能找到正確答案。

　　除了強調互聯網公司的責任，對于普通用戶來說，保護自己的賬戶安全、信息安全，我們還能做些什么？李鐵軍說，要看好自己的手機，因為它是最后一道防線。

　　李鐵軍：“我們會發現，跟資金管理的應用越來越多的是通過手機來完成，那么手機已經成為用戶最關鍵的設備。不管什么情況，你的手機安全是第一步，它就是像你的大門的鑰匙一樣，用戶應該保護好自己的手機，至少應該要有一個鎖屏密碼；然后那些關鍵服務需要有一個第二道密碼，越復雜越好。”