董希淼系中国人民大学重阳金融研究院客座研究员，本文刊于1月10日北京商报网。

　　蚂蚁金服遭遇了“多事之冬”。就在招财宝违约风波尚未平静之时，支付宝再次陷入安全性质疑。1月10日上午，一位用户在社交平台爆料称，支付宝被发现新的漏洞，熟人只要知道你最近买过的东西，并且二人有共同好友，就能较为轻易地通过验证，成功登录你的支付宝账户。一石激起千层浪，就在用户质疑支付宝安全性之余，也把好友验证的这种方式看做变相“着补”社交短板，甚至有用户喊话支付宝关闭社交功能。从安全角度来考虑，业内人士建议，用户可以关闭免密支付。

　　熟人可轻松“作案”

　　1月10日上午，一篇《网曝支付宝新漏洞：熟人可100%登录篡改你支付宝密码》的文章在市场上广为流传。据该文章披露，支付宝存在新漏洞：陌生人有5分之1的机会登录你的支付宝，熟人则有100%的机会登录你的支付宝。

　　具体操作方法为，在“登录手机账号”环节选择“忘记密码”和“手机不在身边”，就可以绕开以短信验证码的方式进行验证；接下来，支付宝会提供一种熟人验证的选择，以“淘宝买过的东西9张图片选1个”和“好友验证9个好友图片选1个”来核验身份，只要选对就可以登陆成功。

　　虽然有支付宝员工指出，选择图片时只能选择一次，选错就不能通过验证。但不少用户都反驳称，只要知道本人近期在淘宝买过的东西，以及有共同好友，就很容易完成，这样的验证方式安全性很低。一位支付宝用户康先生对北京商报记者表示，他把自己的2张借记卡和4张信用卡都绑定了支付宝，一旦账户被他人登陆，6张银行卡都存在风险。

　　加剧用户担忧的是，还有消息称，曾有用户在被熟人盗取了账号后，支付宝客服人员以“熟人作案，支付宝不予理赔”回应。

　　对此，1月10日上午，支付宝官微紧急回应称，通常情况下，用户找回登录密码至少需要输入手机短信验证码，只有对于部分暂时无法收到短信的用户或者更换移动设备的用户，风控系统才会先进行评估（比如账户信息完整程度、网络环境等因素），并在安全系数较高的情况下，才让用户回答一系列安全问题，只有在回答正确后，才能修改登录密码。

　　随后，支付宝还补充表示，在接到网友反映后，支付宝已经于10日上午进一步提高了风控系统安全等级。目前，仅在用户自己手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。

　　业内人士建议关闭免密支付

　　不过，在支付宝声明发布后，又有用户反映，假如本人更换或丢失了设备，如何可以找回密码，在找回密码时如何验证是本人操作？对此，支付宝官方人士对北京商报记者表示，如果本人更换设备，可以通过短信验证码、安保问题、绑定银行卡的卡号等信息找回登录密码。

　　对于“熟人作案，支付宝不予理赔”的说法，支付宝官方人士称这并不严谨。该人士表示，通常来说，只要是支付宝账户被盗刷，支付宝都会通过保险公司进行赔偿。另外，在实际生活中，熟人作案的可能性很低的，非常容易被识破。

　　一位金融机构人士也对北京商报记者表示，陌生人1/5、熟人100%的两个概率过于夸张。这两个概率基于一个前提，即你的身边存在这么一个“坏人”且知道支付宝登录这个漏洞，这样他只要观察你最近买了什么东西就可以破解你的账户。但身边存在这么一个“坏人”的概率并不大，其次，对方破解的只是登录密码而非支付密码，只能通过小额免密来盗窃小部分资金，更多的还是支付信息的泄露，实质财产损失的风险不大。

　　支付宝也对这一点进行了强调。支付宝称，这一策略只能找回登录密码，仅通过回答安全问题并无法找回支付密码，且一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。此外，支付宝密码分为登录密码和支付密码，就算登录密码被重置，支付密码也不会受到影响，用户资金安全还是可以得到保障。

　　还有业内人士“支招”，为避免任何一点资金受损，用户可以关闭小额免密功能。易观智库支付行业分析师王蓬博表示，用户遇到被盗刷的问题，要及时联系支付宝工作人员挂失或者按照提示将损失降低到最少；其次，特别担心被盗刷的用户尽可能不要开启小额免密支付功能，并在用完后随时解绑银行卡。

　　用户喊话：不要做社交了

　　在这次登陆漏洞风波后，尽管支付宝做出了很多安全方面的保证，却依然难以完全打消用户担忧。一位市场人士指出，支付宝的钱包功能已经为不少用户所认可，而安全性漏洞无疑将降低用户对平台的信任度。

　　在支付宝官微回应的评论中，北京商报记者看到，被点赞最多的评论几乎都在指责支付宝过分想要在社交方面突围。一位用户称，“关闭所有社交功能好吗，我只想要个钱包。”还有用户称，“财产对个人来说是很隐私的东西，搞社交很鸡肋。一直以来支付宝体验感觉良好，虽然我钱不多，但是只要有钱就在支付宝里存着，别把用户都逼走了。有搞社交的功夫好好搞搞安全吧。”在一个喊话支付宝“好好做支付，不要做社交！”的评论下，支付宝回应称，“你说的对。”

　　支付宝设置通过好友验证的这种方式，在业内人士看来，背后就是变相扩大社交功能的意图。中央财经大学金融法研究所所长黄震表示，社交一直是支付宝心头的痛，其想通过这种方式增强社交性的色彩，通过好友验证方式，让用户多利用社交功能，弥补短板。而一位安女士透露，她的支付宝好友名单中，只有12个人，都并非最要好的朋友，而且是在“转过一次账之后就添加为好友了”，但她平日根本不会通过支付宝来和好友联系。

　　事实上，蚂蚁金服的社交突围战一直未曾停止。从旺旺、雅虎关系、来往、钉钉，到其投资的陌陌、微博等社交软件，都是阿里系的社交尝试，不过，尝试结果都不太理想。之后，蚂蚁金服想借助已经拥有广泛客群的支付宝寻求突破，从新增朋友和口碑，到首页新增生活圈，再到利用芝麻信用开启“圈子”，这些尝试均不太成功，且不久前上线的“圈子”功能，因为只允许女性发帖，还招来很大争议。

　　此前就曾有业内人士痛批，支付宝做社交最大问题就是用户质疑为什么金融服务要混入社交属性，从用户的心理出发，会降低金融服务的安全性。中国人民大学重阳金融研究院客座研究员董希淼直言，蚂蚁金服这两年在社交上动作频频，基本上以失败告终。在他看来，尺有所短，寸有所长。

　　在本次登陆漏洞风波爆发后，业内人士再次强调，封闭的财富管理和开放的社交存在矛盾。苏宁金融研究院高级研究员薛洪言表示，对支付企业而言，用户资金安全永远是第一位的，在探寻支付工具便捷性与安全性的均衡点的同时，要通过建立完善的风险补偿机制等手段来主动管理风险，确保任何非用户过错风险事件造成的损失都在可赔付范围内、都在可控范围内。（欢迎关注人大重阳新浪微博：@人大重阳，微信公众号：rdcy2013）