揣著社交夢的支付寶，就不能做個安靜的金融平臺嗎？

從年初散盡兩億卻換來罵名的敬業(yè)福，到“校園日記”賣肉賺眼球的支付鴇，在大家用AR滿地找紅包后，卻突然發(fā)現(xiàn)這個管錢的App不再安全了。

那邊廂馬云爸爸還在美國跟特朗普談笑風生，這邊廂后院就“失火”了。

這次是因為支付寶的安全漏洞被刷了屏。從年初散盡兩億卻換來罵名的敬業(yè)福，到“校園日記”賣肉賺眼球的支付鴇，在大家用AR滿地找紅包后，卻突然發(fā)現(xiàn)這個管錢的App不再安全了。

作為有4.5億實名用戶、占據(jù)了71%支付筆數(shù)的支付寶，在今年卻不曾在安全保護上發(fā)力，而是頻頻試水社交。但此次爆出的支付寶登錄、改密碼漏洞，卻正是出現(xiàn)在熟人社交領域。

登錄手機賬號——選擇忘記密碼——手機不在身邊——淘寶買過的東西9圖選1個——好友驗證9圖選一個——登陸成功——掃二維碼驗證可支付。

嚇得小編趕緊把支付寶綁定的銀行卡解綁，余額寶上的資金也趕緊轉移。

盡管支付寶隨后對漏洞打了補丁，但安全風險的暴露還是讓廣大支付寶用戶感到威脅：這意味著在此之前，了解支付寶用戶的親朋好友、淘寶賣家乃至快遞小哥都有潛在機會登陸你的支付寶，借用你的花唄，更改你的付款碼，順走你的余額寶。

這一年支付寶峰回路轉，每每登上頭條都是因為各種負面消息，難怪有人感慨，這屆阿里公關真是趕不上百度公關。

社交與支付的碰撞

在2016年之前，支付寶一直在安安靜靜地做淘寶的后盾，用戶的小金庫。2013年還推出了與之綁定的余額寶，開創(chuàng)了國人互聯(lián)網(wǎng)理財元年，目前依然是中國規(guī)模最大的貨幣基金。

我們都認為它會在網(wǎng)上銀行的路上越走越遠。但支付寶確做起了社交產(chǎn)品的夢。

從微信開始做支付后，支付寶就越來越不淡定，但是做“銀行聊天室”并沒有得到任何好處，卻因此出現(xiàn)了社交關系鏈中的資金安全漏洞。

密碼丟失后，最正常的途徑是驗證個人私密信息。但個人私密信息的社交公開化，則直接成為了危機的源頭。已購買的物品、微信號、手機號、甚至銀行卡號都有可能公之于眾。而在此平臺上暴露的隱私則直接可以登錄到支付寶中從而入侵財產(chǎn)。從這種層面而言，支付寶，不僅僅沒有做好社交，也沒考慮好社交應該與支付寶的原生功能怎么連接，似乎只是單純不希望微信成為一家獨大的社交+支付平臺。

喜歡在銀行門口聊天的，不是騙子就得等著被騙。你愿意天天拿著銀行卡號和別人聊天談心嗎?

將資金相關的信息與社交功能進行綁定，這個做法或許一開始就是錯的。

最便捷也最致命

“陌生人有5分之一的機會登錄你支付寶，熟人有百分之百機會登錄你的支付寶”，此消息最初是由網(wǎng)友爆出的。

然而在知乎上，一位阿里員工發(fā)帖說，“這個問題我十幾天前就在內網(wǎng)反饋過了，支付寶的人說有環(huán)境判斷，不是bug，是為了平衡體驗和安全性，然而支付寶存幾十萬的我，表示最好是讓我生成RSA，自己持有私鑰支付寶服務器拿公鑰，這樣體驗最好。”

其實安全才是人們對理財產(chǎn)品的最終訴求，而非社交等其他附屬功能。

體驗好、便捷，支付寶產(chǎn)品經(jīng)理追求的特性其實也正是支付寶興起的原因。為什么人們不愿再去銀行理財，不愿用現(xiàn)金支付，就是因為掃碼支付、在線轉賬的便捷超出想象。然而任何東西都有邊界，這種便捷體現(xiàn)在認證安全上，就成了致命問題。如果說打造熟人社交是暴露隱私、造成安全風險的前提，那這種一切都便捷的思維模式，才是造成此次事故的根本原因。

即使丟失密碼，我也會給你提供最便捷的找回渠道。對于類似銀行的理財平臺，這種思路很可笑。安全永遠至上，層層把控的銀行雖然手續(xù)繁瑣、人們也從沒拋棄它。線上的便捷，永遠要把線下的復雜考慮在內。

鬧劇背后的危機

消息一出，吃瓜群眾們紛紛開始嘗試所謂的熟人盜號，發(fā)現(xiàn)的確“親測有效”。支付寶則迅速發(fā)布聲明，將此種找回賬號的方式限定在用戶本機上。

經(jīng)尋找中國創(chuàng)客記者與周圍朋友進行嘗試，下午再做實驗時，發(fā)現(xiàn)忘記密碼后第一步必須綁定用戶本人銀行卡，且需要通過銀行進行身份二次驗證。

支付寶的反應堪稱光速，解決也很及時。但背后卻也更讓人焦慮：這種簡單的、可以及時處理的問題為何沒有及早發(fā)現(xiàn)并及時修正，而是當成為大規(guī)模輿論事件后才調整呢?對于最核心的安全問題，支付寶到底付出了多大的精力來維護?

從這份官方聲明中能了解到，支付寶漏洞是一種多因素影響下的特殊情況，即支付寶的風控系統(tǒng)會進行評估，再決定是否啟動該類型的登錄方式。這也是為何爆出了消息卻沒有大規(guī)模支付寶財產(chǎn)被盜的原因。但“熟人盜號”可行性存在的本身，就已經(jīng)為4.5億用戶帶來了高額的風險。

財產(chǎn)平臺應該是越封閉越隱私才能越有安全感。從社交化之始，支付寶的迭代都讓人不知所云。1+1不代表更多，盲目的增加有時會給產(chǎn)品減分，甚至會忽略用戶最重要的訴求。

有句很俗的話叫“不忘初心”，送給支付寶產(chǎn)品經(jīng)理們共勉。