1月10日，有網友驚訝地發現支付寶可以更改別人的密碼，甚至不用輸入原密碼，只要有被篡改人的手機號碼即可，這對廣大支付寶用戶的財產安全無疑造成了不小的威脅。

按照該網友的說法，支付寶的漏洞原理如下：支付寶APP登錄——選擇“忘記密碼”——選擇“手機不在身邊”——這時支付寶會讓你選擇“淘寶買過的東西”（9張圖片選1個）——“你可能認識的人”（9個好友選1個）——如果選擇對就可以重置密碼，且成功率較高。

支付寶隨即作出回應：“為了更好地提升用戶的安全感，在接到網友反映后，我們進一步提高了風控系統的安全等級。”

其在官方聲明中稱，這一方式僅在特定情況下才會實現。在通常情況下，用戶找回登錄密碼至少需要輸入手機短信驗證碼。對于部分暫時無法收到短信的用戶或更換移動設備的用戶，支付寶的風控系統會先進行評估（比如賬戶信息完整程度、網絡環境等）。在安全系數較高的情況下，才讓用戶回答一系列安全問題，只有在回答正確后，才能修改登錄密碼。

支付寶還稱，這一策略只能找回登錄密碼，僅通過回答安全問題無法找回支付密碼。且一旦用戶支付寶在其他設備被登錄，本人設備會收到通知提醒。

中國商報記者于1月10日上午11時左右登錄支付寶進行試驗，找回登陸密碼的方式已變成“刷臉驗證”、“驗證本人銀行卡信息”和“撥打驗證電話”。據支付寶介紹，目前僅在用戶自己的手機上，才能通過識別近期購買商品以及識別本人好友來找回登錄密碼，通過其他手機設備是無法應用這一方式找回登錄密碼的。

支付寶時有漏洞發生。前不久，支付寶才剛經歷了一次AR紅包漏洞。2016年12月，支付寶在新版推出了AR紅包玩法，這是基于高德地圖LBS位置信息和AR場景應用的AR紅包。不過，隨后被網友找到漏洞，通過PS技術，獲取紅包。對于存在的漏洞支付寶官方發布微博表示，已經對AR紅包進行了產品技術上的升級，掃描他人屏幕線索圖領取紅包的概率已經進一步降低到萬分之幾的概率，通過PS搶到紅包的概率也大幅降低。

2016年5月，有人曝光支付寶APP轉賬漏洞：通過支付寶轉賬，即使輸錯賬號，退款到原有賬戶，轉賬處理頁面也會顯示“付款成功”的字樣。這其實和上面的銀行短信提醒漏洞有相似之處。隨后，支付寶彌補了這個漏洞。

2015年10月，一則關于支付寶實名認證出現漏洞的消息鬧得沸沸揚揚，隨后支付寶回應稱，如果發現支付寶實名認證賬戶下出現其他關聯賬戶，是因為賬戶持有人存在身份證等個人隱私信息泄露的情況，導致被關聯認證，且子賬戶不能用認證身份借款。

2014年2月，淘寶和支付寶認證被爆存在安全缺陷，黑客可以簡單利用該漏洞登錄他人淘寶/支付寶賬號進行操作，危害等級高。

今后，支付寶用戶應當如何避免系統漏洞可能帶來的財產風險？可以設置更高難度的安全問題或者調低花唄額度，當發覺疑有支付寶被盜用跡象，可立即掛失：在“我的”—“設置”—“安全中心”—“急救包”中選擇“快速掛失”，掛失后“資金不進不出，任何人無法登錄”。