屏幕快照 2014-01-20 下午11.01.49

近日网上流传着一则关于支付宝安全的惊悚帖子,网帖声称,“捡到他人手机后,任何人都可以仅通过取回密码的方式破解支付宝的登陆和支付密码,从而盗走资金”。一些用户根据帖子的指引模拟自己手机丢失后找回密码的操作,发现果然通过一个手机校验码就成功了,而更多用户和媒体在测试过程中却发现,网帖声称的方式并不可行。

面对网上愈演愈烈的讨论,1月19日下午,阿里巴巴小微金融服务集团首席风险官胡晓明通过支付宝官方微博正式回应称,这种说法纯属谣言。

胡晓明介绍,支付宝的安全基于一整套的风险防控体系,其中7*24小时的智能风险识别系统会对用户的每一笔支付、每一次找回密码等关键操作进行智能识别,对不同风险级别的操作会要求不同的安全校验。有用户根据帖子模拟成功,那是因为这些用户就是在自己的电脑上模拟自己“真实被盗”的过程,而支付宝的风控系统已经识别到这一点。“如果真有别人捡到你的手机,想在别的电脑上找回你的支付宝密码,他一定需要“手机校验码+身份证信息”等更高安全级别的校验,绝对不可能仅通过一个手机校验码就找回你的密码。”

支付宝方面人士表示,对于这则谣言和支付宝背后的安全机制,支付宝早在2013年9月15日、2013年11月23日就通过支付宝官方微博进行过详细说明,在其他多种渠道也都进行过解释。

2013年4月16日,支付宝在业内首创以保险的形式为用户提供资金保障。支付宝的资金安全由平安保险全额承保,用户发生被盗,平安保险全额赔付,赔付金额无上限,保费全部由支付宝承担。如果手机丢了,支付宝账号就一定被盗,支付宝也不可能敢于提供这样的全额赔付的保障。

以下附上公开信全文:

这几天,微博和朋友圈里流传着一则“支付宝关联了银行卡,如果手机丢了会发生什么”的“惊悚实验”。事实上,这是一则很早之前就被辟谣过的谣言,在经过重新回炉“精心”再造之后,经过各种营销账号的推波助澜,这个谣言又一次开始兴风作浪。

那么我们今天就大家所关心的几个问题来讨论下:

1、那个“惊悚实验”是不是真的?我们早在2013915日、20131123日就通过支付宝官方微博进行过详细说明。支付宝的安全基于我们一整套的风险防控体系,其中7*24小时的智能风险识别系统会对用户的每一笔支付、每一次找回密码等关键操作进行智能识别,对不同风险级别的操作会要求不同的安全校验。

有用户根据帖子的指引模拟自己手机丢失后找回密码的操作,一些人发现,果然通过一个手机校验码就成功了。那是因为这些用户就是在自己的电脑上模拟自己“真实被盗”的过程。就好比是用自己家的钥匙开自己家的门,一开果然锁开了,用户不明就里认为这存在风险,但如果自己的钥匙开不了自己家的门,这不是更奇怪吗?

实际上,我们的风控系统已经识别到这只是发生在用户自己电脑上的一次“模拟”。如果真有别人捡到你的手机,想在别的电脑上找回你的支付宝密码,他一定需要“手机校验码+身份证信息”等更高安全级别的校验,绝对不可能仅通过一个手机校验码就找回你的密码。

2、手机丢了到底安不安全?这个问题如果停留在假设层面的讨论没有意义。支付宝的移动支付已经开展了好几年,仅支付宝钱包的用户已经过亿,相信这其中丢过手机的用户也不在少数,那么这些用户中有多少因此而导致支付宝被盗?即便按照这个“惊悚实验”所要求的条件来匹配,要么同时丢失手机和电脑,或者同时丢失手机和身份证,并且上述所有设备通通无密码,这个概率估计比脑袋被石头砸中的概率还小。

3、手机支付到底安不安全?支付宝创立最初的名字其实是“支付保”,就是希望通过这样一个产品保护大家在网上交易中的安全,让天下无贼。对,还有那句著名的“你敢付,我敢赔”也是来自2003年的支付宝为用户提供的安全策略。

到了移动互联网时代,大家的支付都转移到了手机上,因此我们为支付宝钱包用户提供了更贴心的保护。支付宝钱包为用户提供了两道密码防护,登录时需要输入登录密码,并设置手势密码,而在支付时则有专门的支付密码的保护。这些只是用户看得见的保护,在用户看不见的后台,支付宝有自主研发的智能风险识别系统7*24小时在保护大家的安全,全部用户和账户信息都进行128SSL加密传播,并由专业团队进行分级、存储。我们设置了专职的首席风险官,有业内最大的风险管理团队,五分之一的员工从事安全相关的工作。支付宝在安全方面投入的服务器集群超过2200台,叠起来高度超过帝国大厦。基于我们的安全体系,支付宝的风险概率不到十万分之一,在全球范围都处于绝对领先水平。

4、当然,世界上没有绝对的安全。所以2013416日,我们在业内首创以保险的形式为用户提供资金保障。支付宝的资金安全由平安保险全额承保,用户发生被盗,平安保险会全额赔付,赔付金额无上限,保费全部由支付宝承担。这种保障模式随后也被业内其他同行效仿。

5、在完善自身风险控制能力之外,支付宝一直努力提升全行业及全产业链的安全能力。2013年全年,支付宝联合国内外反钓鱼组织及各浏览器厂商,共计屏蔽钓鱼网站155282个,占全球金融类钓鱼网站总量的43.49%2013年,我们联合全国14个地市公安机关,针对手机木马等盗用、欺诈支付宝用户案件开展打击。全年打击作案团伙16个,抓获犯罪嫌疑人35名,涉案总金额超千万元。

6、看到这里很多人会说,我们只是在讨论手机丢了安不安全你跟我扯这些干嘛?我们想告诉大家的是,今天无论是PC支付还是移动支付,最大的问题是因为木马病毒钓鱼网站,尤其是手机上,99%的被盗跟此相关,其余是用户被骗,而不是因为丢失手机。

7、回到开头的那个帖子身上,我们只想敬告作为背后推手的那些公关公司以及背后真正的主人,商业竞争请在阳光下堂堂正正地来,这种造谣欺骗用户的行为只会让我们看到你的虚弱和胆怯。营造恐慌与恐惧实现不了你的目的,真正做好产品和服务才是真理,与你共勉。

小微金融服务集团首席风险官 胡晓明