近日，一篇文章引發(fā)關(guān)注和熱議，文章由一位信息安全專家根據(jù)親身經(jīng)歷梳理。文章作者老駱駝表示，由于家人一部手機被盜，自己經(jīng)歷一場與一伙專業(yè)老練、利用竊取個人信息盜取他人銀行賬戶資金的犯罪團(tuán)伙斗智斗勇的事件。文章提到了眾多企業(yè)，包括電信、華為、支付寶、美團(tuán)、蘇寧金融等，引發(fā)大家對財產(chǎn)安全的警惕和討論。

對此，支付寶相關(guān)部門人員在朋友圈回應(yīng)稱支付寶“非攻”安全實驗室的同學(xué)第一時間和老駱駝聯(lián)系上了，并了解了相關(guān)情況。回應(yīng)指出，文章所披露的黑產(chǎn)在支付寶里沒套到錢和信息；且支付寶承諾資金被盜全額賠付，包括手機丟失導(dǎo)致的。

此外，支付寶相關(guān)部門人員在回應(yīng)中提到，熱文中的對手確實是高階黑產(chǎn)，但黑產(chǎn)在修改支付密碼時被支付寶風(fēng)控攔住了，查不了銀行卡號，也沒法收付款，才注冊了一個新號，但新號也不能使用原號里的錢。

“不過他有2點推斷與實際情況不符，在這個case中：1、黑產(chǎn)并沒有突破人臉識別：能注冊新號是通過其他渠道已掌握的身份信息和短信驗證碼，在常用設(shè)備上實現(xiàn)的。2、黑產(chǎn)不是通過快速綁卡獲得銀行卡號的，而是通過輸入用戶的銀行卡卡號+預(yù)留手機的短信驗證碼綁卡的，卡號是黑產(chǎn)通過其他渠道獲得的。”

回應(yīng)同時表示，這篇文章既給用戶提了醒，也讓支付寶的風(fēng)控能做進(jìn)一步的優(yōu)化。并建議大家單獨為SIM卡設(shè)置密碼， 能在一定程度上防止黑產(chǎn)接收驗證碼。

據(jù)老駱駝表示，事發(fā)后，事件中涉及的幾家支付公司都積極聯(lián)系到其本人，美團(tuán)的貸款記錄消除了，蘇寧金融把損失的幾千都賠付了。

后續(xù)，作者在提到支付寶人臉識別的繞過時表示，“支付寶在進(jìn)行業(yè)務(wù)設(shè)計時，對在原手機上創(chuàng)建并登陸的子賬號，在實名認(rèn)證時匹配身份信息的各項要素通過風(fēng)控規(guī)則校驗與主賬號一致的情況下是不需要人臉驗證的，這一點我們辦公室的多位工程師今天下午在對我的被盜刷事件進(jìn)行技術(shù)復(fù)盤時也驗證確實是如此，人臉識別的繞過確實錯怪他們了，這也解釋得通為何犯罪分子需要解鎖偷到的手機進(jìn)行支付寶的登錄，推測是為了不觸發(fā)支付寶的風(fēng)控規(guī)則。”(雪梅)

以下為支付寶相關(guān)團(tuán)隊回應(yīng)原文：

支付寶「非攻」安全實驗室的同學(xué)第一時間和老駱駝聯(lián)系上了，根據(jù)賬號我們復(fù)原了支付寶相關(guān)的情況，和大家做個說明。

先說結(jié)論：

1、黑產(chǎn)在支付寶這里沒套到錢和信息；

2、大家放心，支付寶承諾資金被盜全額賠付，包括手機丟失導(dǎo)致的。

看了長文，對手確實是高階黑產(chǎn)，老駱駝也很厲害，抽絲剝繭分析得很詳盡。黑產(chǎn)修改支付密碼時被支付寶風(fēng)控攔住了，查不了銀行卡號，也沒法收付款，才注冊了一個新號，但新號也不能使用原號里的錢。

不過他有2點推斷與實際情況不符，在這個case中：

1、黑產(chǎn)并沒有突破人臉識別：能注冊新號是通過其他渠道已掌握的身份信息和短信驗證碼，在常用設(shè)備上實現(xiàn)的。

2、黑產(chǎn)不是通過快速綁卡獲得銀行卡號的，而是通過輸入用戶的銀行卡卡號+預(yù)留手機的短信驗證碼綁卡的，卡號是黑產(chǎn)通過其他渠道獲得的。

很感謝老駱駝的記載，既給用戶提了醒，也讓我們的風(fēng)控能做進(jìn)一步的優(yōu)化。希望老駱駝在其他平臺上的損失能盡快找回。

建議大家單獨為sim卡設(shè)置密碼， 能在一定程度上防止黑產(chǎn)接收驗證碼。另外，如果使用支付寶時有什么問題，可以隨時電話我們的客服95188。