不少习惯使用支付宝的人最近有点小郁闷。7月8日,支付宝9.0版本上线,关闭了手势密码,迅速引起很多用户关于支付宝余额隐私暴露以及资金安全的担忧。尽管网上一片反对声,但支付宝依然坚称新版本采取了大数据风险防控体系“安全大脑”,即使被盗取了密码,非本人也无法使用支付宝。事实果真如此吗?南国早报记者体验后发现,如果个人信息也泄露,新版支付宝或许还是存在一定的安全漏洞
1 焦点 新版支付宝取消了手势解锁7月8日,蚂蚁金融服务集团发布支付宝最新的9.0版本,这个自称为“支付宝12年最革命性变化”的版本,将橙色基调换成了蓝装。但是,用户们最关心的新变化并不是新引入的“聊天”功能,而是页面上“手势密码将在30天后停止服务”的提示。 “平时已经用习惯的这道手机‘安全锁’要退役了,没了手势密码的支付宝会不会不安全?”经常使用支付宝的市民高女士说,“手势密码”是支付宝的一道有效保护锁,以苹果手机为例,除非用户在每次使用完支付宝后,依次进入“财富”、“设置”页面,然后选择“退出登录”,否则下一次点击支付宝时,系统往往默认用户处于登录状态,无需输入登录密码就可以操作支付宝。而如果选择使用手势密码,无论用户是否登录,再次进入支付宝页面时都需要在屏幕上画出自己设置的图案后才能进入软件。 高女士对新版本的改动表示疑惑,她认为现在很多人已经习惯将支付宝视为另一个钱包,“如果没有手势密码,他人拿到我的手机就可直接登录支付宝,这难免让人担心”。 “我觉得新版本很容易暴露用户的支付宝余额隐私。”市民林先生说,平时很多人在不方便的时候,会让朋友或者熟人帮暂时保管手机,没有手势密码的话,他人直接就可以点开手机上的支付宝,看到其中的信息,这显然会给用户造成隐私泄露。
2 回应 大数据风控体系可保支付安全7月10日,记者致电支付宝相关负责人士,就用户的质疑和担忧进行采访。支付宝方面回应称,支付宝已经拥有完善的大数据风控体系来判别用户行为,“即使被盗取了密码,非本人也无法使用支付宝”。 支付宝相关负责人回应称,目前支付宝已经形成以账户、设备、位置、行为、关系、偏好等6个维度构成的大数据风控系统,“举个例子,在行为这个维度,每个人触控手机屏幕的方式不同,而手机上是有很多传感器的,可以通过指压、接触面积、重力变化、连续间隔时间等,帮助判断是不是主人操作。一旦判别是异常操作,系统将立刻拦截这笔交易”。 这位负责人还介绍说,3个月前支付宝已陆续在启动界面上向用户推送可选择关闭手势密码的选项,“目前已经有几千万用户选择关闭了手势密码。经过测算,这部分用户账户发生资金被盗的风险和拥有手势密码的用户一样,都是百万分之一”。 针对用户担忧的账户资金安全问题,该人士表示,支付宝还将免费赠送用户最高赔付达100万元的账户安全险,一旦发生盗刷,支付宝方面将依照保险条例进行赔付。 7月10日,支付宝官方微博还发布“给新支付宝用户的一份安全报告”,比喻“在自己的手机上模拟丢失实验(即在自己手机上找回自己账号密码)相当于拿着自家钥匙在自家冰箱偷可乐喝”。
3 体验 有身份证号即可修改支付宝密码针对支付宝的最新解释,不少用户还是难以接受,一用户表示:“如果冰箱里面放有10万元人民币,用你的最强大脑想一下,你觉得需要密码吗?”支付宝新版本为何如此让人不安?记者特意进行了修改支付宝密码的体验。 首先,记者将手机上的支付宝软件更新为9.0版本,发现确实可以在不需要手势密码的情况就能进入支付宝,里面所有的信息一览无余。 第二步,进行“把他人绑定支付宝的银行卡或支付宝余额里的钱转到自己名下”的实验。记者选择修改支付密码,并在页面上选择“忘记密码”选项,然后选择“重置支付密码”,最后输入个人身份证号码,就获得了新的支付密码。这意味着,他人若获得记者的手机及身份证号码,就可以这样修改掉机主的支付宝密码。 “重新获得了有效的支付密码,理论上就可以进行转钱操作了。”南宁资深网络安全业内人士李先生指出,支付宝比喻网友用自己的手机做实验是“在自家冰箱偷可乐喝”未必恰当,如果用户的手机与身份证、驾照等有个人身份信息的证件一起丢失,别人就可以根据个人信息修改支付密码,这肯定存在一定的安全漏洞的。 对此,不少支付宝用户在接受记者采访时也提出,支付宝所谓的“安全大脑”声称可以从用户设备、位置、行为、关系、偏好等多方面进行大数据风控,但是这不能排除“万一自己的习惯与窃取资金之人有一定的相似性,使得大数据无法识别”的可能性。
4 支招 绑定的银行卡最好别放太多资金有什么方法可以尽量避免支付宝发生损失呢?记者采访了不少在这方面有经验的“达人”。 “绑定支付宝、微信钱包等手机支付软件的银行卡账户上,最好不要放太多资金。”南宁的钟女士说,她平时习惯在需要使用手机进行支付或转账时,才通过网银把其他银行卡的资金转到“绑定卡”上。如此一来,即便发生“万一”,绑定的银行卡上余额有限,个人损失也有限。 市民卢先生说,他从来不用信用卡绑定手机支付软件,“借记卡上有多少余额就只能用多少钱,失窃就是有限的,而信用卡可以透支,相对来说更不安全”。 还有市民支招,平时在使用手机支付软件进行转账、支付之后,可直接“取消银行卡绑定”,到下次需要支付的时候再绑定。“绑定银行卡需要填写一些在银行登记的个人信息,这些信息是窃贼未必能获取的,虽然麻烦一些,但是安全”。 业内人士也提醒,出门最好不要把手机与个人证件放在一起,手机丢失应该及时给运营商打电话挂失,并补办手机号。在使用支付宝等第三方支付软件时,一定要做好安全措施,比如支付宝的数字证书、密保问题等功能,都应该及时申请或安装。