支付宝炸了，快递小哥都能刷走你账户的钱

1 月 10 日凌晨突发新闻，有网友爆料支付宝新漏洞，熟人几乎可以百分之百修改你的登录密码，登录支付宝后还可以直接用付款码付款，支付宝账单也可以删除，支付密码则可以用完整银行卡号修改。经过我同事张信宇的试验，确实可以轻松破解身边女友的账户，成功修改密码登录。

知乎上也有相关的提问《如何看待支付宝 1 月 10 日被曝光的非密码登录模式下可能出现的账户安全风险？》，提问中给出了比较详尽的破解方法：登录手机账号——忘记密码——手机不在身边——淘宝买过的东西 9 张图片选 1 个——好友验证 9 个好友图片选 1 个——修改密码——登录成功。

退出自己的账号，进入支付宝登录界面，输入帐号（手机）后点击忘记密码。接收校验码的时候选择无法接收短信。

选择熟人验证的方式，选择该账号主人认识的人和常用地址

更改账户密码，成功登录。随意使用免密支付和付款码。得到银行卡号或者刷脸登陆的动图后可以修改支付密码。

这里的“熟人”不仅仅指的是你身边的朋友，包括知道你地址、手机号、爱买什么的淘宝店家和快递小哥。另外，你的身份证号也不是什么多难拿到的东西。

截至发稿前，好像支付宝已经修改了这个验证方式：

支付宝这种验证方式很像机械模仿微信后的结果（可是关系到了支付安全），根据知乎网友，手机淘宝前端老大 Winter 所说，这个漏洞十几天前就被发现过了，但是并没有被重视起来。

有不少人都宣称要把支付宝好友都删了，这样就不会有熟人验证的尴尬和朋友圈行骗的事情发生了。

为了安全保险起见，建议你可以做以下几件事：

1.余额和余额宝中的钱全部转出

2.“我的-点击最上方卡片-我的银行卡-选择银行卡-右上角管理-删除”

3.关闭小额免密支付：“设置-支付设置-免密支付-小额免密支付”

4.如果发现自己的账号被登录了，可以在“我的-设置-账户与安全-安全中心-急救包”中选择快速挂失

但是还可以通过手机号和身份证号解除挂失。只能不断挂失解挂，直到绑定新的手机号。

5. 花呗额度调到最低的 500 ：“我的-蚂蚁花呗-设置-额度设置”

6.购买支付宝内置的 2 元的账户安全险：“我的-保险服务”

7.登录支付宝 PC 网页版，设置安全问题

8.不建议设置刷脸登录

目前支付宝蚂蚁神盾局给出的回应，为了证明支付宝的可靠性，支付宝公关们也纷纷晒出了自己的支付宝账户邀请大家来测试刷钱：

更多有品好玩的新闻早知道。

原文来自:品玩