支付宝安全漏洞引担忧，社交试水需谨慎，产品经理们勿忘初心

两难，难在有一句话很流行，叫“不忘初心”，分享给支付宝产品经理们，共勉吧。

正当马云在美国与特朗普有说有笑的时候，后院突然发生火灾。

这次是因为支付宝的安全漏洞被炒得沸沸扬扬，从去年初豪掷2亿却落得恶名的敬业福，到《校园日记》里卖淫吸睛的支付皮条客，在大家用AR到处找红包之后，却突然发现：咦，这款理财APP好像不再安全了？

拥有4.5亿实名用户、支付占比71%的支付宝，今年以来并未在安全防护方面做出任何努力，反而频频尝试社交，而此次被曝出的支付宝登录密码修改漏洞，却出现在熟人社交领域。

登录手机账号—选择“忘记密码”—手机不在身边—选择9张你在淘宝买过的东西的图片中的1张—选择9张进行好友验证—登录成功—扫描二维码验证支付。

小编吓得赶紧解绑了支付宝绑定的银行卡，将余额宝里的资金转了过去。

虽然后来支付宝修补了漏洞，但安全风险的暴露还是让广大支付宝用户感受到了威胁：这意味着，在此之前，认识的支付宝用户的亲朋好友、淘宝卖家甚至是快递员都有可能登录你的支付宝、借你的花呗、改你的支付码、拿走你的余额宝。

支付宝今年可谓是一波三折，每次上头条都是因为各种负面新闻，难怪有人感叹阿里巴巴这次的公关真是赶不上百度的公关了。

社交与支付的碰撞

2016年之前，支付宝一直默默支持淘宝，充当用户的小金库，2013年推出与淘宝联动的余额宝，开启了中国互联网理财时代，至今仍是国内最大的网络理财平台，也是国内首屈一指的理财基金。

我们都以为它会在网络银行的道路上走得越来越远，但支付宝却梦想着成为一款社交产品。

自从微信做支付以来，支付宝变得越来越不安分，但它并没有从做“银行聊天室”中获取任何好处，反而在其社交关系链中造成了金融安全漏洞。

丢失密码后，最常见的方式是验证个人隐私信息。然而，个人隐私信息的社交泄露直接成为危机的根源。购买的物品、微信ID、手机号，甚至银行卡号都可能被公开。在这个平台上暴露的隐私，可以直接登录支付宝，侵犯财产。从这个角度看，支付宝不仅没有做好社交，也没有考虑社交应该如何与支付宝原生功能对接。我只是不希望微信成为较早的社交+支付平台。

喜欢在银行门口聊天的人要么是骗子，要么就是等着被骗，你愿意每天拿着你的银行卡号跟别人聊天吗？

将金融信息与社会功能绑定或许从一开始就是一个错误的举动。

最方便，但也最致命

“陌生人有五分之一的几率登录你的支付宝，熟人有百分之百的几率登录你的支付宝。”这则消息最初是由网友透露的。

但在知乎上，一位阿里员工发帖称，“我十多天前就在内网反馈过这个问题，支付宝工作人员说是环境判断，不是bug，是为了兼顾体验和安全而设计的。但是，支付宝作为一个有几十万存款的人，我觉得最好能生成一个RSA，自己拿私钥，让支付宝服务器拿公钥，这样体验最好。”

事实上，安全才是人们对金融产品的最终诉求，而不是社交等其他辅助功能。

体验好、便捷是支付宝产品经理追求的特质，其实也是支付宝火爆的原因。为什么人们不再愿意去银行理财、不再愿意用现金支付？就是因为扫码支付、在线转账的便捷性超乎想象。任何事物都有其界限，而这种便捷性在认证安全上就成了致命的问题，如果说熟人之间建立社交网络是暴露隐私、造成安全风险的前提，那么这种一切追求便捷的思维模式，就是导致此次事故的根本原因。

就算你忘记密码，我也会提供你最方便的找回方式。对于类似银行的理财平台来说，这种想法很可笑。安全永远是靠前要务。层层把关的银行虽然手续繁琐，但人们从未抛弃过它。网络购物的便捷性，总要兼顾线下的复杂性。

闹剧背后的危机

消息一出，民众纷纷开始尝试所谓的熟人破解，发现确实“有效”，支付宝也迅速发布声明，将此种恢复账号方式限定在用户本机。

在和身边的朋友尝试后，记者下午又做了一次实验，发现忘记密码后的靠前步就是绑定用户银行卡，需要经过银行再次验证身份。

支付宝的响应速度如闪电，问题得到及时解决。但这背后的原因更让人担忧：为什么这么简单的问题，本来可以及时解决，却没有及时发现和纠正，而是在引发大规模舆情事件后才进行调整？支付宝在维护核心安全问题上，付出了多少努力？

从这份官方声明中，我们可以了解到支付宝漏洞是受多重因素影响的特殊情况，即支付宝的风控系统会进行评估，然后决定是否启用该类登录方式。这也是为什么**称支付宝资产大规模被盗并不存在的原因。但“熟人入侵”本身的可行性，已经给4.5亿用户带来了很高的风险。

越封闭、越私密的金融平台越安全，从社交化开始，支付宝的迭代就让人摸不着头脑，1+1不代表更多，一味的增加有时候会拉低产品的评分，甚至忽略用户最重要的需求。

有一句话很常见，叫“不忘初心”，我想分享给所有的支付宝产品经理。

推荐阅读：

本文部分内容来自新京报“寻找中国创客”栏目