支付宝辟谣“校验码漏洞”

　　随着移动支付的兴起，有关支付安全问题的各种“流言”甚嚣尘上。近日，一则有关“捡到他人手机可通过手机校验码取回密码”的网帖被广泛传播。对此，阿里小微金融服务集团首席风险官胡晓明通过官方微博正式回应称，这种说法纯属谣言。

　　这则网帖声称，“捡到他人手机后，任何人都可以仅通过取回密码的方式破解支付宝的登陆和支付密码，从而盗走资金”。一些用户根据帖子的指引模拟自己手机丢失后找回密码的操作，发现果然通过一个手机校验码就成功了，而更多用户和媒体在测试过程中却发现，网帖声称的方式并不可行。

　　胡晓明介绍，支付宝的安全基于一整套的风险防控体系，其中7×24小时的智能风险识别系统会对用户的每一笔支付、每一次找回密码等关键操作进行智能识别，对不同风险级别的操作会要求不同的安全校验。有用户根据帖子模拟成功，那是因为这些用户就是在自己的电脑上模拟自己“真实被盗”的过程，而支付宝的风控系统已经识别到这一点。“如果真有别人捡到你的手机，想在别的电脑上找回你的支付宝密码，他一定需要‘手机校验码+身份证信息’等更高安全级别的校验，绝对不可能仅通过一个手机校验码就找回你的密码。”

　　支付宝方面表示，对于这则谣言和支付宝背后的安全机制，支付宝早在2013年9月15日、2013年11月23日就通过支付宝官方微博进行过详细说明，在其他多种渠道也都进行过解释。2013年4月16日，支付宝宣布用户的资金安全由平安保险全额承保，用户发生被盗，平安保险全额赔付，赔付金额无上限，保费全部由支付宝承担。

　　■相关新闻

　　“余额宝二号”节后推出？

　　昨天有消息称，“余额宝二号”将于不久后面市，名字或为“定期宝”。对此，支付宝公关部表示，的确有多家基金公司与支付宝接触，但目前无进一步信息可透露。

　　此前有消息称，支付宝正与南方基金、工银瑞信基金、德邦基金、道富基金以及易方达基金合作，计划在春节前后推出“类余额宝”的短期理财产品，采取“一家公司一只产品”的策略。与余额宝T+0实时赎回不同，被业界称为“余额宝二号”的产品是一款封闭期在7天到90天的短期理财产品，主打手机端。对此，支付宝内部人士表示，目前已和多家基金接触，但并没有关于产品的进一步消息。