今日有網(wǎng)友發(fā)現(xiàn)了支付寶的一個致命漏洞，他人熟知你的支付寶個人信息后可以通過“找回密碼”功能登錄并篡改支付寶密碼。

經(jīng)過實測，發(fā)現(xiàn)只要對一個人的購物習慣以及他的圈子比較熟悉的，按照上述操作的match確可以很快破解，然后重置密碼。

按照網(wǎng)友的說法，支付寶的漏洞原理如下：通過支付寶APP登錄——選擇“忘記密碼”——選擇“手機不在身邊”——這時支付寶會讓你選擇“淘寶買過的東西”（9張圖片選1個）——“你可能認識的人”（9個好友選1個）——只要選擇對就可以重置密碼了。

不過，根據(jù)在支付寶選擇圖片的驗證操作，陌生人破解支付寶密碼的機會并沒有1/9那么高，實際為1/81。但若為熟人操作，則賬戶被登錄的成功率極高。

支付寶在線上支付中需要支付密碼，但在當面掃碼付款中沒有防護手段。此外個人支付寶賬號中完整顯示了個人的真實信息，不法分子也可通過支付寶求好友轉(zhuǎn)賬等方式進行詐騙。

對于漏洞事件，支付寶官方微博進行了回應：