国际在线消息(记者 姚毅婧):“如果你的手机丢了,任何人仅凭借手机接收到的校验码就能找回你的支付宝密码,解除你的数字证书,盗空你的支付宝账户”,这两天,微博和微信朋友圈里一则这样的“惊悚实验”被广泛散播。事实真是如此吗?1月19日,阿里巴巴小微金融服务集团首席风险官胡晓明回应称,“这种说法纯属谣言”。
这则网帖称,“捡到他人手机后,任何人都可以仅通过取回密码的方式破解支付宝的登陆和支付密码,从而盗走资金”。按照这个网站的测试步骤,在不知道支付宝登录密码的情况下,如果绑定了手机号,只需要通过“忘记登录密码”的功能,就可以获取手机校验码即可进入支付宝账户。如果说想要要将余额宝里的钱划到支付宝,或者将支付宝的钱转到其他银行卡,还需要支付密码。测试人员同样通过“找回密码”和“短信验证”功能,就获得了支付密码。之后,无论是网购和转账,该手机的支付宝账户就完全处于获得者的掌控之下。这样想我的手机丢了,我的钱包也就丢了,而且我的银行卡也是处于一个危险的状态。
一些用户根据帖子的指引模拟自己手机丢失后找回密码的操作,发现果然通过一个手机校验码就成功了,而更多用户和媒体在测试过程中却发现,网帖声称的方式并不可行。为什么结果会不一样?支付宝方面人士表示,这则帖子其实是利用了普通用户对支付宝智能风险识别系统不熟悉这一点,进行了刻意诱导。
胡晓明称,手机丢了到底安不安全?这个问题如果停留在假设层面的讨论没有意义。支付宝的移动支付已经开展了好几年,仅支付宝钱包的用户已经过亿,相信这其中丢过手机的用户也不在少数,那么这些用户中有多少因此而导致支付宝被盗?即便按照这个“惊悚实验”所要求的条件来匹配,要么同时丢失手机和电脑,或者同时丢巴巴失手机和身份证,并且上述所有设备通通无密码,这个概率估计比脑袋被石头砸中的概率还小。
胡晓明介绍,支付宝的安全基于一整套的风险防控体系,其中7*24小时的智能风险识别系统会对用户的每一笔支付、每一次找回密码等关键操作进行智能识别,对不同风险级别的操作会要求不同的安全校验。有用户根据帖子模拟成功,那是因为这些用户就是在自己的电脑上模拟自己“真实被盗”的过程,而支付宝的风控系统已经识别到这一点。“如果真有别人捡到你的手机,想在别的电脑上找回你的支付宝密码,他一定需要“手机校验码+身份证信息”等更高安全级别的校验,绝对不可能仅通过一个手机校验码就找回你的密码。”
支付宝方面人士表示,对于这则谣言和支付宝背后的安全机制,支付宝早在2013年9月15日、2013年11月23日就通过支付宝官方微博进行过详细说明,在其他多种渠道也都进行过解释。但在经过重新回炉“精心”再造之后,经过各种营销账号的推波助澜,这个谣言又一次开始兴风作浪。
数据显示,2013年全年,支付宝联合国内外反钓鱼组织及各浏览器厂商,共计屏蔽钓鱼网站155282个,占全球金融类钓鱼网站总量的43.49%,此外支付宝还联合全国14个地市公安机关,针对手机木马等盗用、欺诈支付宝用户案件开展打击,全年打击作案团伙16个,抓获犯罪嫌疑人35名,涉案总金额超千万元。
据悉,2013年4月16日,支付宝在业内首创以保险的形式为用户提供资金保障。支付宝的资金安全由平安保险全额承保,用户发生被盗,平安保险全额赔付,赔付金额无上限,保费全部由支付宝承担。“如果手机丢了,支付宝账号就一定被盗,支付宝也不可能敢于提供这样的全额赔付的保障”,支付宝方面称。
(原标题:网传"手机丢了支付宝就完了" 阿里巴巴回应称纯属谣言)
