前段时间，各路媒体报道了苏州地区大面积出现支付宝账户被盗后，修改密码依然被盗刷情况（可点击文末链接查看报道）。

聂某人看到这篇文章后进行了实际测试，发现的确存在这一问题，各位吃瓜群众，都赶紧检查下自己的账户吧！

案件还原测试

昨晚有网友爆料，支付宝账户、密码丢失后，发现修改密码也无效，依然也会被强行在手机端被迫下线，从而后续出现盗刷事件。

根据情况，进行了实际测试，在此先说下测试的经过，再说结论（结论在文末倒数第二段）。

拿三台手机，第一台是常登陆的手机（假设为用户手机，机型为苹果），第二台和第三台，均为盗窃者的手机（称为：A手机，B手机，均为安卓）。

三个测试手机，均下载最新版客户端，9.9.7版本，11月24日更新。

开始测试（首先要拿到用户的登录信息，这个太高深，聂某人不会，就用自己的账号做了测试）

1、在自己的手机登陆支付宝账户，一切状态正常（账户名使用的是淘宝账户，假设为aaa，后续均用这个登录）。

2、犯罪份子用A手机，登陆支付宝账户aaa，支付宝会认为是新设备，提示选择回答问题进行登录。经过反复登录测试，提示的几个问题是：

A、您曾经购买过的商品；（9个选项）；

B、您可能认识的人；（我的里面几乎没什么好友）（6个选项）；

C、您曾经登录过的WIFI（6个选项，这个问题，我压根不知道，瞎猜回答）；

说实话，聂某人的账户是给其他人用，我基本不用，所以商品就也瞎猜，WIFI瞎猜，好友很少，这个没猜，一眼就知道是谁。

支付宝的风控在这起了一定作用，但后续没完全起作用。

当第一次回答问题错误后，支付宝给绑定的手机发送了短信，要求短信验证（这个直接忽略不去使用）；

此时采取关闭程序，重新打开登录，依然选择回答问题登录，特别巧合，两次尝试就登录进去了（当然也有可能登录不进去）；

3、犯罪份子用C手机（第三台手机）,登录支付宝账户aaa，厉害了word姐！竟然没有任何的问题提示，直接进去！

这个不会是支付宝认为我这个账户习惯性的登录新设备，就给取消新设备验证了？

4、下面的操作就简单了，支付宝最高可以设置2000元以内的免密，随便购物吧；

5、此时，用户手机在犯罪份子登录成功后会提示如下图，提示下线，要求重新登录。用户一般会直接登录，然后修改密码（修改的是淘宝的用户aaa对应的密码），但是无用。。。

6、犯罪份子用C手机，依然使用未修改的用户密码，继续登录成功，不需要其他验证，然后用户手机又提示被迫下线。

问题所在？

那么，问题来了？！

为什么修改了密码，仍然会被用原来的密码登录？

聂某人仔细看了下自己的账户，发现登录有2个登录用户名（如下图）

一个是淘宝用户名aaa，另外一个是单独的支付宝用户名,bbb。

（历史问题，很早支付宝和淘宝分离，很多用户的用户名也采用了分离方案，后来又合并）

在使用淘宝用户名aaa登陆后，修改的却是bbb对应的密码，这个大家可以自己实验。

用aaa登录，修改完登录密码，aaa反而登录不了了，支付宝会自动将登陆用户名切换到bbb去，然后使用新密码，登录成功！

（修改完密码后，一般不会提示重新登录，所以用户不知道修改的密码情况）

这个就是为什么用户被盗后，登录后修改密码无效的秘密了吧？

希望支付宝方面，多重视下自己的支付安全吧，尽快修复这个漏洞！

这种情况下，用户很难从支付宝那拿到索赔的。。。哎！！！

互联网金融，不是你想爱就能爱。。。

平时要保护个人的手机、账户等信息不要泄露，大家还是小心为上。。。