回应支付宝登录漏洞事件 问题出在登录验证机制 消息称已经不存在任何风险

2017年1月10日上午，支付宝爆出“致命”登录漏洞，各方都在进行漏洞分析，甚至都有支付宝漏洞群的出现了。数小时后，支付宝官方给出回应称，“今日上午进一步提高了风控系统的安全等级”。有消息说，

“支付宝的密码和风险策略做了修改，已经不存在风险，

如果还收到有风险的情况，可以及时和支付宝沟通下，我们及时反馈”

支付宝登录漏洞验证方式

有网友给出一种验证方式

支付宝新漏洞，各位用支付宝的小伙伴注意了，陌生人有5分之一的机会登录你的支付宝，
熟人有百分之百的机会登录你的支付宝。
登录手机账号--忘记密码--手机不在身边--淘宝买过的东西9张图片选1个--好友验证9个好友图片选1个。
登录成功，可以直接扫二维码付款不用密码）

还有网友给出第二种验证方式

1打开支付宝登录界面，输入帐号后点击忘记密码

2.输入帐号后直接点无法接收短信

3.这里有很多验证方式，选择你所知道的方式，熟人验证，你知道的朋友信息

4.更改密码，原密码直接忘记，直接更改

5.修改完直接登入账户，拥有全部功能，且支持免密支付

个人要警惕支付宝给出的消息反馈

如果突然收到支付宝发来的验证码短信，提示有人尝试登录你的支付宝账号，大家可以立刻进入支付宝客户端，

点击【我的】→【设置】→【安全中心】→【急救包】→【快速挂失】。

支付宝官方回应如下

我们接到网友反映，称可以通过识别好友、识别近期购买物品，来找回支付宝登录密码。

这一方式仅在特定情况下才会实现。通常情况下，用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户，我们的风控系统会先进行评估（比如账户信息完整程度、网络环境等因素）。在安全系数较高的情况下，才让用户回答一系列安全问题，只有在回答正确后，才能修改登录密码。

这一策略只能找回登录密码，仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。

为了更好提升用户的安全感，在接到网友反映后，我们于今日上午进一步提高了风控系统的安全等级。目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。

我们也欢迎用户继续对我们的安全策略提出意见和建议，我们会根据大家的反馈进一步完善和修正。

雷锋网消息称支付宝提高的风控系统安全等级是这样的

可以判断支付宝也应用了以下风控手段：

风险信息库

对于支付宝的所有的验证登录数据，都会被收录到风险信息库中。每一个风险用户和背后的手机、邮箱、IP地址、身份证号都会被记录在案。

设备指纹

对于每一台登录支付宝的设备，风控措施都会为了给设备定义一个独特的指纹，系统会收集多维度的信息，例如：

• App的基本信息。其中包括 App 的名称、版本等，也包括集成 SDK 的版本信息。
• 设备信息。包括设备的名称、型号、系统、IMEI号、MAC地址。（iOS 设备只能获取部分信息）
• 网络信息。wifi、4G等参数。
• 公开的接口信息。例如软件ID、开发者ID。

通过以上信息综合算出设备的“指纹ID”。这个 ID 相当于设备的身份证。当硬件发生变动时，只要改动的部件低于一定比例，仍会被认定为是同一台设备。