从今天起，真的要删掉支付宝每个好友吗？

挨踢妹上午正在认真、专心的开大会，突然手机就响了一声，一条支付宝的短信让我吓一大跳——

天了噜，谁在登录我支付宝账户呀？账户里最起码都有几千万呢，吓出一身的我以迅雷不及掩耳之势改掉密码，但心仍有余悸。

回头再刷新闻，心头又一紧，原来这个点的支付宝出大事了——熟！人！可！以！篡！改！你！的！支付宝密码！

方法并不难，具体的操作方法是——

很多人，亲测有效，于是这条消息爆炸了！

微博也一片热议。

挨踢妹这时候才意识，我之所以会收到这条来自支付宝的验证码短信，就是别人在尝试登陆我账号过程中点击“忘记密码”系统发送的。建议收到此短信的用户，查一下最近的交易记录（不是账单，因为账单可删）。如果不放心，可以立刻进入支付宝客户端，通过“我的--设置-账户与安全-安全中心-急救包-快速挂失”或拨打支付宝服务热线95188进行挂失，这种举措能够阻碍任何人登录你的账号，并且阻止资金转入流出。

很快，支付宝就把漏洞修复了，并发布官方声明，表示目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码。手机不在身边的选项，很多人都看不到了。

挨踢妹朋友圈一位互联网安全专家写道——

有网友说，HR知道所有人的身份证、电话和银行卡信息。这个其实还能放大，你可以默认黑产知道你所有的机密信息。如果与支付相关的应用可以在任意设备重置而不要求提供充分信息的情况下，安全风险就存在。

我的支付宝里好友只有LP一个，不会添加任何人为支付宝好友，也绝不会拿支付宝做社交工具。余额永远为0，余额宝一年的收益好象不到5块钱。支付宝对我来说就是个交易通道，从不担心被盗怎么办。

在知乎上，前阿里员工、现默安科技CTO云舒表示类似的事情以前出过。

标注为阿里的员工winter也表示，该问题我10几天前就在内网反馈过了，后来支付宝的人解释了一下情况没大家想的那么糟。而且支付宝同学认为这不是bug，据说是为了平衡体验和安全性（黑人问号脸），然而支付宝存几十万的我，表示最好是让我生成RSA我自己持有私钥支付宝服务器拿公钥，这样体验最好。

知乎的另一用户惊云说道，支付宝最大的问题，就是把财产和社交绑定在一起。这本来就是最为矛盾的两个功能，支付宝却硬是不死心，各种改版，各种加新功能，就为了把社交作进来，这不，终于又出了BUG。

“马云爸爸和支付宝的产品经理，到底要花多少钱，让支付宝用户遭受多少罪，走多少弯路，大改多少次界面，发多少次敬业福，才能明白一个道理：把自己的钱袋子账号和社交账号绑起来到底是多傻逼的一件事情。没人会愿意天天拿着银行卡账号和别人去聊天谈心。”

有兴趣的朋友，可以看看这篇题为《未婚夫趁女友熟睡盗刷支付宝一万元获刑》的新闻。

联通取消年终奖是假，降是真降！