得罪也要上！小編深度揭露支付寶大漏洞

　　正所謂千里之堤潰于蟻穴，再牛逼的安全體系，只要存在一個(gè)漏洞，也會(huì)被攻破。趁著315這個(gè)特殊的日子，小編為大家揭露一下大多數(shù)人都用到的支付寶有什么驚天大漏洞。這一回，哪怕會(huì)得罪支付寶，文章也要上。如果文章要修改，那小編只想增加一句，“本文所述漏洞已經(jīng)完全修復(fù)好”。

　　看一個(gè)網(wǎng)上支付工具是否安全，就看在用戶有安全意識(shí)的情況下是否能讓用戶放心。如果因?yàn)槌霈F(xiàn)手機(jī)丟失或者手機(jī)SIM被人補(bǔ)辦這種人算不如天算的事，就導(dǎo)致網(wǎng)上支付工具里的錢(qián)全部被盜，那根本就不能稱(chēng)之為安全可靠。把用戶賬號(hào)的安全大權(quán)交給第三方（移動(dòng)運(yùn)營(yíng)商）來(lái)保管，這根本就是一個(gè)錯(cuò)誤。然而，犯錯(cuò)的支付寶并沒(méi)有失去什么，為錯(cuò)誤買(mǎi)單的反而是無(wú)比信賴(lài)支付寶的用戶，這就是“顧客就是上帝”的反證……

　　在本文即將完成之際，小編突然發(fā)現(xiàn)支付寶已經(jīng)簡(jiǎn)單地修復(fù)那個(gè)“一條短信就可以修改支付密碼”的驚天大漏洞，這值得表?yè)P(yáng)，但也讓小編好受傷，為什么不等小編把文章發(fā)出去再修復(fù)漏洞呢，那小編只好重新修改文章再發(fā)布。如果想罵小編的，請(qǐng)看完全文再罵，謝謝。

　　好文不羅嗦，啰嗦沒(méi)好文。在繼續(xù)閱讀之前，希望大家能幫忙做個(gè)調(diào)查問(wèn)卷。

小編為什么非要跟支付寶過(guò)不去？

　　很多人可能在問(wèn)小編天天“黑”支付寶圖的是啥？小編只想說(shuō)，圖的是支付寶把坑爹的驚天漏洞完美地修復(fù)好，讓本來(lái)體驗(yàn)非常不錯(cuò)的網(wǎng)上支付工具變得絕對(duì)安全可靠，而不是像之前那樣讓人在深入了解“漏洞”之后對(duì)之完全沒(méi)有信心。

　　其實(shí)小編使用支付寶的時(shí)間還不到兩年，但已經(jīng)將支付寶的功能研究得七七八八，通過(guò)支付寶幫朋友購(gòu)物倒騰錢(qián)達(dá)40多萬(wàn)。因此說(shuō)，小編最?lèi)?ài)用的網(wǎng)上支付工具就是支付寶，因?yàn)橹Ц秾毥o了我們免費(fèi)轉(zhuǎn)賬的機(jī)會(huì)。

試問(wèn)一個(gè)不喜歡用支付寶的人敢這樣玩錢(qián)？（點(diǎn)擊看大圖，下同）

　　在2012年7月中旬，小編就以一篇《支付寶安全嗎？4條短信5分鐘盜空支付寶》來(lái)詳盡介紹支付寶的漏洞。當(dāng)時(shí)是希望支付寶能在文章發(fā)布后馬上修復(fù)這個(gè)漏洞，讓用戶不怕在丟了手機(jī)之后就提心吊膽怕支付寶被盜，畢竟有多少人沒(méi)有丟手機(jī)的經(jīng)歷。

 
點(diǎn)擊圖片閱讀原文

　　雖然支付寶沒(méi)有修復(fù)這個(gè)坑爹的漏洞，但卻在9月左右推出了一個(gè)敢用敢賠的支付寶服務(wù)，這也讓小編算是暫時(shí)放下心來(lái)。

支付寶敢用敢賠會(huì)員服務(wù)

　　在使用支付寶的過(guò)程中，小編還把自己使用支付寶轉(zhuǎn)賬的心得撰寫(xiě)成文分享出去，此時(shí)，我還認(rèn)為支付寶是比較安全的（在手機(jī)不丟失的情況下）。

點(diǎn)擊圖片閱讀原文

 　　然而，當(dāng)小編以為自己發(fā)現(xiàn)的漏洞只是一個(gè)假設(shè)的時(shí)候，多個(gè)專(zhuān)業(yè)的小偷竟然把小編的假設(shè)變成真實(shí)，從而發(fā)生多起因?yàn)?a class="cmsLink" target="_blank">手機(jī)丟失而被盜的支付寶案件（詳見(jiàn)第四頁(yè)）。

 
支付寶被盜案件不斷發(fā)生

　　在眾多支付寶被盜案件中，有一位網(wǎng)店賣(mài)家通過(guò)各種途徑找到小編向我哭訴他支付寶的1.9多元是怎么被盜的（被盜原因，移動(dòng)SIM卡被人異地補(bǔ)辦），并且支付寶官方拒絕無(wú)過(guò)失的支付寶被盜受害人的索賠（拒賠原因，不符合索賠細(xì)則中某一條）。這一刻，小編平時(shí)再冷血也被刺激了，敢用敢賠說(shuō)得這么好聽(tīng)，為什么此刻卻拒賠并且不告訴用戶拒賠的原因，這是什么服務(wù)，店大欺客？

　　跟支付寶公關(guān)人員電話理論半小時(shí)無(wú)結(jié)果之后，小編已經(jīng)決定，不讓支付寶認(rèn)識(shí)自己的“漏洞”是一個(gè)多么恐怖的存在并且不修復(fù)好的話，誓不罷休。

　　于是乎，等春節(jié)過(guò)后，小編就開(kāi)始收集支付寶被盜的新聞并加以分析被盜原因，目的之一就是讓網(wǎng)友知道支付寶被盜是什么原因?qū)е碌�，目的之二是希望支付寶官方能關(guān)注到這個(gè)坑爹的漏洞并想辦法修復(fù)（目的算是已經(jīng)基本達(dá)到，但離最終目的還有很遠(yuǎn)）。

支付寶終于簡(jiǎn)單地修復(fù)了那個(gè)一條短信修改支付密碼的漏洞

　　終于，在小編撰寫(xiě)此文的時(shí)候，支付寶終于簡(jiǎn)簡(jiǎn)單單地算是修復(fù)了那個(gè)為小偷提供無(wú)限便利的BUG（如上圖，修改支付密碼的時(shí)候加多了需要輸入證件號(hào)碼一步）。

支付寶還存在什么漏洞？

　　曾經(jīng)讓小偷受益無(wú)限的“4條短信5分鐘盜空支付寶”的漏洞已經(jīng)算是不存在了，但并不能說(shuō)沒(méi)有漏洞了。目前還有的漏洞就是支付寶開(kāi)通快捷支付無(wú)需輸入銀行卡的取款密碼。這漏洞意味著假如讓小偷收集了用戶身份證號(hào)、銀行卡號(hào)和跟銀行卡綁定的手機(jī)號(hào)，那么小偷不但能將你支付寶的錢(qián)盜空，就連銀行卡的錢(qián)也能通過(guò)快捷支付全部盜空。

 小編建議支付寶這樣修復(fù)漏洞

　　早在上年，小編就曾經(jīng)多次對(duì)支付寶提出了如何修復(fù)漏洞的建議，結(jié)果吃上了閉門(mén)羹……

　　要讓支付寶變得絕對(duì)安全可靠，小編是這樣建議的。一，修改登錄密碼和支付密碼必須是兩種不同方式（例如短信和郵箱兩種模式）；二，手機(jī)用戶要找回密碼，必須要求他輸入身份證或者銀行卡號(hào)；三，修改最后的支付密碼，如果無(wú)法輸入之前的支付密碼，必須用手機(jī)短信加郵件同時(shí)確認(rèn)；四，開(kāi)通快捷支付必須輸入銀行卡取款密碼，取款密碼一旦修改必須要再次開(kāi)通快捷支付才能使用快捷支付功能。

　　對(duì)于用戶來(lái)說(shuō)，或許修改密碼的方式變得麻煩一點(diǎn)，但這樣絕對(duì)安全，給人一種就算丟了手機(jī)、銀行卡、身份證三件套也無(wú)法讓小偷破譯支付寶密碼的感覺(jué)。因?yàn)橐�破譯支付寶和快捷支付，還得自己的郵件確認(rèn)和輸入銀行卡的取款密碼。