支付宝险被盗刷问题复盘, 总结: 支付密码也应该一站一密!

昨晚睡前看手机, 突然收到支付宝推送风险操作.

经过美团、支付宝双方客服确认, 总结流程大概是: 在美团创建订单以后, 唤起网页版支付宝, 通过支付宝账号与支付密码, 创建了支付订单, 但有短信验证码所以未能支付成功, 并且被支付宝的风控拦截中断交易了.

今天与支付宝沟通, 确认该设备同时还尝试了其他多个账号, 并与我确认是否认识其他“受害者”.

事后总结: 不仅登陆密码要不同, 支付密码应该也保持不同渠道均不相同.

推测是某个渠道信息泄露, 支付密码被拿出来撞库了.

恐怕很多项目, 密码是 hash 的, 支付密码还是明文的吧?