近日，有网友曝出支付宝存在新漏洞——陌生人有五分之一的机会登录你的支付宝，而熟人则有百分之百的机会登录你的支付宝。按照网友的说法，漏洞的原理是这样的：登录手机账号——忘记密码——手机不在身边——淘宝买过的东西9张图片选1个——好友验证9个好友图片选1个——登录成功。这时就可以直接扫二维码付款不用密码。已有多位网友亲测，可以成功登录同事、朋友的支付宝账号。

支付宝迅速做出了回应称，“为了更好提升用户的安全感，在接到网友反映后，我们也进一步提高了风控系统的安全等级。目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。”

而小编也拿出自己的支付宝账户亲自测试，发现支付宝提高了风控系统的安全等级之后，账户被盗基本上不太可能。而小浪在支付一笔巨额交易（200元……）的时候被提醒有风险，需要修改登录密码和支付密码，这一点上支付宝做的还是比较贴心的。

原文如下：

今天上午，一则骇人听闻的消息传来：你熟悉的人能够轻易通过支付宝的漏洞盗取你的登陆密码进行支付，对于某些消息传播不太迅速的社交圈，你很有可能在最近看到如下的几个标题：

《恐怖！熟人动动手指，你的支付宝所有余额不翼而飞》

《支付宝惊现高危漏洞！XX支付笑了》

《你的支付宝余额很有可能在你七大姑八大姨的掌控中》

需要在先说明的是，如果你因为这种方式被盗，那么支付宝的保险理赔有很大可能不予理赔，原因在于这将被支付宝归结于“熟人作案”，不在理赔的范围。

由于支付宝到目前为止依然是不少网友消费支付的主要APP，下面小编就亲自测试一下，熟人盗取密码真有那么简单？

在支付宝的风控等级调整之后，之前曾经能够进行点击验证的部分手机已经不再提供这种方式，我们以不断缩小范围的策略来看一下，你究竟应该防住谁才能够避免你的支付宝被盗。

能够进入该界面的人，是能够获得你手机号码的人，这些人包括你身边的快递员、小偷等等等等。但是能够跳出点击验证的人则缩小到能够拿到你手机的人，也就是借你手机的朋友、亲人以及小偷等。

▲点击忘记密码之后出现的界面，仍然是任何人都能够点击

▲ 如果进入了这一界面则需要你点击你认识的好友，我们的家人、同事当然最有可能选对，但如果无法出现对应的好友，想要选对的概率是九分之一。

▲ 购买的商品方面，依然是同事与亲人更占“优势”，毕竟是他们帮你收包裹，即便不清楚，那么依然是九分之一的概率，两次同时蒙对的概率为1/81，约为0.0123457。当然对于熟人来说这个概率可能是1。

▲ 如果你真的成功了，那么恭喜你，你能够通过被扫描二维码的方式进行支付了，不过也仅是到此为止了，因为你并不清楚这个账户的支付密码。如果你真在线下进行消费了，那么监控抓到你的几率是100%，

然后…你懂的 ▼

从测试来看，在此前参与测试的几台机型，到目前为止都已经停止了点击验证的方式，也就是说不少用户即便是在自己的手机上也无法通过这种方式找回密码，因此也不必过多担心账号被盗的问题。

在能够盗取你账号的人群当中，同事、亲人无疑是最有可能“作案”的，但是真的到了这种地步，小编认为一定不是你使用手机的习惯出现了问题，而问题出现在人心上。

所以如果说不是刻意而为，广大支付宝用户还是淡定些吧。