新京报讯 (记者刘夏)日前,关于“手机丢了支付宝就完了”的网帖引发广泛关注。该帖子中模拟手机丢失后的场景,称任何人都可能凭借手机接收到的校验码盗走支付宝账户。对此支付宝官方进行辟谣,并称帖子中所模拟的“被盗”过程是无效的。
“一个验证码找不回密码”
随着手机上支付宝、微信支付、新浪微博支付的便利性日益增加,且用途更加广泛,手机支付已经流行起来。不过用户们对手机支付安全性的担心也开始增加。
近日,微博和微信上一则“支付宝关联了银行卡,如果手机丢了会发生什么”的“惊悚实验”引发网友热议。这则网帖称,“捡到他人手机后,任何人都可以仅通过取回密码的方式破解支付宝的登录和支付密码,从而盗走资金”。
有部分用户根据帖子的指引模拟自己手机丢失后找回密码的操作,发现可以成功“盗号”。不过也有用户测试后称,该网帖说的方法“不可行”。这是怎么回事呢?
1月19日,阿里巴巴小微金融服务集团首席风险官胡晓明通过支付宝官方微博正式回应称,上述内容纯属谣言。“有用户根据帖子模拟成功,那是因为这些用户就是在自己的电脑上模拟自己‘真实被盗’的过程,而支付宝的风控系统已经识别到这一点。”胡晓明称。
“如果真有别人捡到你的手机,想在别的电脑上找回你的支付宝密码,他一定需要‘手机校验码+身份证信息’等更高安全级别的校验,绝对不可能仅通过一个手机校验码就找回你的密码。”他表示。
胡晓明还介绍,支付宝对不同风险级别的操作会要求不同的安全校验。
余额宝也存被盗风险
目前支付宝钱包用户数已经超过1亿,又关联余额宝,用户产生担心,手机丢失是否同时意味着余额宝也会面临风险。
截至2014年1月15日,余额宝规模已超过2500亿元,客户数超过4900万户。当余额宝规模迅速扩张,支付宝账户安全问题也越来越被用户关注。
举例来说,若支付宝用户手机丢失,与支付宝钱包相关的首道防线是手势密码。若用户没有设置手势密码,小偷必须通过身份证信息等校验认证过程。如果身份证信息也被小偷得知,则用户的支付宝和余额宝安全都会受到威胁。
2013年10月,阿里小微金融事业部总经理袁雷鸣曾对新京报记者表示,余额宝确实存在被盗风险,被盗风险率为十万分之一。
更大危险是木马病毒
其实,相比于直接丢手机,手机上支付宝等账户被盗的风险来源更多源于木马病毒钓鱼网站上面,尤其是手机,99%的被盗跟此相关。
据媒体之前报道,一位黄先生在支付宝推出余额宝之后,办理了余额宝业务,并在余额宝里存了30万元。去年10月12日,在黄先生毫不知情的情况下,他账户中的4万元被转走。支付宝调查后表示,跟身份信息泄露及短信被劫持有关。
对此,支付宝选择以全额赔付的方式让庞大的用户先吃下“定心丸”。按照支付宝现在的政策,支付宝快捷支付、余额、余额宝资金安全全部由平安保险全额承保,发生风险后,平安保险都会对消费者进行100%赔付。赔付金额无上限。
■ 相关
微信支付对风险“全赔”
微信支付也面临手机丢失带来的风险。
据了解微信一般只需6位数支付密码即可网购话费充值。使用“找回密码”的功能,被要求输入所绑定的银行卡卡号、持卡人姓名和身份证号。相比之下,这三个信息同时获得的难度大一些。如果身份证和银行卡随手机一起丢失,微信银行账户也将不保。对此,微信方面以“全赔保障”回应。2013年10月,腾讯与中国人保财险(PICC)达成协议,用户如因使用微信支付造成资金被盗等损失,将可获得PICC的全赔保障。