從年初散盡兩億卻換來罵名的敬業福,到“校園日記”賣肉賺眼球的支付鴇,在大家用AR滿地找紅包后,卻突然發現這個管錢的App不再安全了。
那邊廂馬云爸爸還在美國跟特朗普談笑風生,這邊廂后院就“失火”了。
這次是因為支付寶的安全漏洞被刷了屏。從年初散盡兩億卻換來罵名的敬業福,到“校園日記”賣肉賺眼球的支付鴇,在大家用AR滿地找紅包后,卻突然發現這個管錢的App不再安全了。
作為有4.5億實名用戶、占據了71%支付筆數的支付寶,在今年卻不曾在安全保護上發力,而是頻頻試水社交。但此次爆出的支付寶登錄、改密碼漏洞,卻正是出現在熟人社交領域。
登錄手機賬號——選擇忘記密碼——手機不在身邊——淘寶買過的東西9圖選1個——好友驗證9圖選一個——登陸成功——掃二維碼驗證可支付。
嚇得小編趕緊把支付寶綁定的銀行卡解綁,余額寶上的資金也趕緊轉移。
盡管支付寶隨后對漏洞打了補丁,但安全風險的暴露還是讓廣大支付寶用戶感到威脅:這意味著在此之前,了解支付寶用戶的親朋好友、淘寶賣家乃至快遞小哥都有潛在機會登陸你的支付寶,借用你的花唄,更改你的付款碼,順走你的余額寶。
這一年支付寶峰回路轉,每每登上頭條都是因為各種負面消息,難怪有人感慨,這屆阿里公關真是趕不上百度公關。
社交與支付的碰撞
在2016年之前,支付寶一直在安安靜靜地做淘寶的后盾,用戶的小金庫。2013年還推出了與之綁定的余額寶,開創了國人互聯網理財元年,目前依然是中國規模最大的貨幣基金。
我們都認為它會在網上銀行的路上越走越遠。但支付寶確做起了社交產品的夢。
從微信開始做支付后,支付寶就越來越不淡定,但是做“銀行聊天室”并沒有得到任何好處,卻因此出現了社交關系鏈中的資金安全漏洞。
密碼丟失后,最正常的途徑是驗證個人私密信息。但個人私密信息的社交公開化,則直接成為了危機的源頭。已購買的物品、微信號、手機號、甚至銀行卡號都有可能公之于眾。而在此平臺上暴露的隱私則直接可以登錄到支付寶中從而入侵財產。從這種層面而言,支付寶,不僅僅沒有做好社交,也沒考慮好社交應該與支付寶的原生功能怎么連接,似乎只是單純不希望微信成為一家獨大的社交+支付平臺。
喜歡在銀行門口聊天的,不是騙子就得等著被騙。你愿意天天拿著銀行卡號和別人聊天談心嗎?
將資金相關的信息與社交功能進行綁定,這個做法或許一開始就是錯的。
最便捷也最致命
“陌生人有5分之一的機會登錄你支付寶,熟人有百分之百機會登錄你的支付寶”,此消息最初是由網友爆出的。
然而在知乎上,一位阿里員工發帖說,“這個問題我十幾天前就在內網反饋過了,支付寶的人說有環境判斷,不是bug,是為了平衡體驗和安全性,然而支付寶存幾十萬的我,表示最好是讓我生成RSA,自己持有私鑰支付寶服務器拿公鑰,這樣體驗最好。”
其實安全才是人們對理財產品的最終訴求,而非社交等其他附屬功能。
體驗好、便捷,支付寶產品經理追求的特性其實也正是支付寶興起的原因。為什么人們不愿再去銀行理財,不愿用現金支付,就是因為掃碼支付、在線轉賬的便捷超出想象。然而任何東西都有邊界,這種便捷體現在認證安全上,就成了致命問題。如果說打造熟人社交是暴露隱私、造成安全風險的前提,那這種一切都便捷的思維模式,才是造成此次事故的根本原因。
即使丟失密碼,我也會給你提供最便捷的找回渠道。對于類似銀行的理財平臺,這種思路很可笑。安全永遠至上,層層把控的銀行雖然手續繁瑣、人們也從沒拋棄它。線上的便捷,永遠要把線下的復雜考慮在內。
鬧劇背后的危機
消息一出,吃瓜群眾們紛紛開始嘗試所謂的熟人盜號,發現的確“親測有效”。支付寶則迅速發布聲明,將此種找回賬號的方式限定在用戶本機上。
經尋找中國創客記者與周圍朋友進行嘗試,下午再做實驗時,發現忘記密碼后第一步必須綁定用戶本人銀行卡,且需要通過銀行進行身份二次驗證。
支付寶的反應堪稱光速,解決也很及時。但背后卻也更讓人焦慮:這種簡單的、可以及時處理的問題為何沒有及早發現并及時修正,而是當成為大規模輿論事件后才調整呢?對于最核心的安全問題,支付寶到底付出了多大的精力來維護?
從這份官方聲明中能了解到,支付寶漏洞是一種多因素影響下的特殊情況,即支付寶的風控系統會進行評估,再決定是否啟動該類型的登錄方式。這也是為何爆出了消息卻沒有大規模支付寶財產被盜的原因。但“熟人盜號”可行性存在的本身,就已經為4.5億用戶帶來了高額的風險。
財產平臺應該是越封閉越隱私才能越有安全感。從社交化之始,支付寶的迭代都讓人不知所云。1+1不代表更多,盲目的增加有時會給產品減分,甚至會忽略用戶最重要的訴求。
有句很俗的話叫“不忘初心”,送給支付寶產品經理們共勉。
