熟人可轻易篡改密码，支付宝陷危机！这一次连安全也不能保障了，这个被人骂了一年的软件该何去何从？

一心终究难以二用，有句很俗的话叫“不忘初心”，送给支付宝产品经理们共勉吧。

那边厢马云爸爸还在美国跟特朗普谈笑风生，这边厢后院就“失火”了。

这次是因为支付宝的安全漏洞被刷了屏。从去年初散尽两亿却换来骂名的敬业福，到“校园日记”卖肉赚眼球的支付鸨，在大家用AR满地找红包后，却突然发现:咦，这个管钱的APP好像不再安全了?

作为有4.5亿实名用户、占据了71%支付笔数的支付宝，在今年却不曾在安全保护上发力，而是频频试水社交。但此次爆出的支付宝登录、改密码漏洞，却正是出现在熟人社交领域。

登录手机账号--选择忘记密码--手机不在身边--淘宝买过的东西9图选1个--好友验证9图选一个--登陆成功--扫二维码验证可支付。

吓得小编赶紧把支付宝绑定的银行卡解绑，余额宝上的资金也赶紧转移。

尽管支付宝随后对漏洞打了补丁，但安全风险的暴露还是让广大支付宝用户感到威胁:这意味着在此之前，了解支付宝用户的亲朋好友、淘宝卖家乃至快递小哥都有潜在机会登陆你的支付宝，借用你的花呗，更改你的付款码，顺走你的余额宝。

这一年支付宝峰回路转，每每登上头条都是因为各种负面消息，难怪有人感慨，这届阿里公关真是赶不上百度公关。

在2016年之前，支付宝一直在安安静静地做淘宝的后盾，用户的小金库。2013年还推出了与之绑定的余额宝，开创了国人互联网理财元年，目前依然是中国规模最大的货币基金。

我们都认为它会在网上银行的路上越走越远。但支付宝确做起了社交产品的梦。

从微信开始做支付后，支付宝就越来越不淡定，但是做“银行聊天室”并没有得到任何好处，却因此出现了社交关系链中的资金安全漏洞。

密码丢失后，最正常的途径是验证个人私密信息。但个人私密信息的社交公开化，则直接成为了危机的源头。已购买的物品、微信号、手机号、甚至银行卡号都有可能公之于众。而在此平台上暴露的隐私则直接可以登录到支付宝中从而入侵财产。从这种层面而言，支付宝，不仅仅没有做好社交，也没考虑好社交应该与支付宝的原生功能怎么连接，似乎只是单纯不希望微信成为一家独大的社交+支付平台。

喜欢在银行门口聊天的，不是骗子就得等着被骗。你愿意天天拿着银行卡号和别人聊天谈心吗?

将资金相关的信息与社交功能进行绑定，这个做法或许一开始就是错的。

最便捷，也可能最致命

“陌生人有5分之一的机会登录你支付宝，熟人有百分之百机会登录你的支付宝”，此消息最初是由网友爆出的。

然而在知乎上，一位阿里员工发帖说，“这个问题我十几天前就在内网反馈过了，支付宝的人说有环境判断，不是bug，是为了平衡体验和安全性，然而支付宝存几十万的我，表示最好是让我生成RSA，自己持有私钥支付宝服务器拿公钥，这样体验最好。”

其实安全才是人们对理财产品的最终诉求，而非社交等其他附属功能。

体验好、便捷，支付宝产品经理追求的特性其实也正是支付宝兴起的原因。为什么人们不愿再去银行理财，不愿用现金支付，就是因为扫码支付、在线转账的便捷超出想象。然而任何东西都有边界，这种便捷体现在认证安全上，就成了致命问题。如果说打造熟人社交是暴露隐私、造成安全风险的前提，那这种一切都便捷的思维模式，才是造成此次事故的根本原因。

即使丢失密码，我也会给你提供最便捷的找回渠道。对于类似银行的理财平台，这种思路很可笑。安全永远至上，层层把控的银行虽然手续繁琐、人们也从没抛弃它。线上的便捷，永远要把线下的复杂考虑在内。