近日,在微信、微博等网络空间,一则关于“支付宝关联银行卡,如果手机丢了会怎样”的帖子,引起大家一些恐慌。原来,帖子中描述,如果你的手机丢失,而又凑巧手机绑定了支付宝,那么捡到手机者通过手机号码就能获取你的支付宝账号和密码。然后“解除数字证书,一个手机短信就够了。至于支付密码等,也可以通过手机发送短信搞定……”帖子总结到:“这一切的杯具的根源在于,手机的权限太‘逆天’,居然可以解除其他所有安全设置。”事实真是如此吗?
警示安全VS危言耸听
“这样也行?”“在电脑上试了一下,好像还真的可以。”“哇,太恐怖了,土豪们以后务必看管好自己的手机,千万不要在支付宝里留太多钱。”有网友看到“揭秘帖”后惊叹。记者看到被网友转发的帖子称,他人可以通过失主的手机获取支付宝账号、密码以及支付密码,然后再开通快捷支付功能,通过支付宝就可以转账。
而为了防止失主挂失手机,帖子建议“把绑定手机改了吧,居然一条短信又搞定了”。总之,无论是账号、密码还是数字证书、关联卡号、身份证号、快捷支付,帖子都称可以通过手机短信搞定。
最后,帖子总结:“这一切的‘杯具’的根源在于,手机的权限太逆天,居然可以解除其他所有安全设置。正确的策略应该是数字证书优先于手机验证,可支付宝,手机居然取消数字证书,连长干掉师长,还能说什么呢。”
由此看来,与手机绑定的支付宝若关联了银行卡,真的很不安全。这一番“高科技”的警示帖,迅速引来众多网友围观。一些网友根据帖子的指引模拟自己手机丢失后找回密码的操作,发现果然通过一个手机校验码就成功了,同时亦有网友在测试过程中却发现,网帖声称的方式行不通。
到底谁是谁非?
幕后:营销账号的阴谋?
无疑,此帖所指即支付宝的安全问题。日前,阿里巴巴小微金融服务集团首席风险官胡晓明通过支付宝官微回应称,这是一则很早之前就被辟谣过的谣言。他表示,支付宝的安全基于一整套的风险防控体系,其中7×24小时的智能风险识别系统会对用户的每一笔支付、每一次找回密码等关键操作进行智能识别,对不同风险级别的操作会要求不同的安全校验。
至于有人通过帖子模仿操作,果然一个手机校验码就能成功获得密码。胡晓明称,那是因为这些用户就是在自己的电脑上模拟自己“真实被盗”的过程。就好比是用自己家的钥匙开自己家的门,一开果然锁开了,用户不明就里认为这存在风险。如果真有别人捡到用户的手机,想在别的电脑上找回其支付宝密码,他就一定需要“手机校验码+身份证信息”等更高安全级别的校验,绝对不可能仅通过一个手机校验码就找回你的密码。
他还表示,手机丢失了支付宝不安全的前提应该是:要么同时丢失手机和电脑,或者同时丢失手机和身份证,并且上述所有设备通通无密码。显然,这是小概率事件。
不过,胡晓明也承认,支付宝没有绝对的安全,但木马病毒钓鱼网站是最大的问题,而非手机丢失。
文、图整理/记者李光焱