日前有大陸網民指,由於支付寶「忘記密碼」的驗證問題過於簡單,只需點選認識的人和購買過的商品便可通過,使別人可輕易竄改密碼。支付寶其後指,這方式「僅在特定情況下才會有效」,收到網友反映後已進一步提高風控系統的安全等級。
大陸網民稱,在支付寶手機程式中點選忘記密碼,再點選無法接收短訊後,便可透過其他驗證方式取回密碼,但該些方式過於簡單,只需點選認識的人和購買過的商品便可重設密碼。大陸科技媒體如《FreeBuf》和《愛范兒》測試過均發現,部分帳戶的密碼可被竄改。
支付寶其後表示:
「這一方式僅在特定情況下才會有效。通常情況下,用戶找回登錄密碼至少需要輸入手機短訊驗證碼。對於部分暫時無法收到短訊的用戶或者更換行動裝置的用戶,我們的風控系統會先進行評估(比如帳號資訊完整程度、網路環境等因素)。在安全係數較高的情況下,才讓用戶回答一系列安全問題,只有在回答正確後,才能修改登錄密碼。
這一策略只能找回登錄密碼,僅透過回答安全問題並無法找回支付密碼。且一旦用戶支付寶在其他裝置被登錄,本人裝置會收到通知提醒。
為了更好提升用戶的安全感,在接到網友反映後,我們於 10 日上午進一步提高了風控系統的安全等級。目前僅在用戶自己的手機上,才能透過辨識近期購買商品以及辨識本人好友來找回登錄密碼,透過其他手機裝置是無法用這一方式找回登錄密碼的。」