【財新網】（記者 王瓊慧） 互聯網的觸角已經無處不在，以“便捷”為主要優勢的移動支付風險亦存。12月11日，數十位蘇州用戶的支付寶賬戶被盜，平均被盜刷金額數千元。擁有超過4.5億用戶、并在2000元以下免密支付，支付寶用戶數據安全風險受到關注。

螞蟻金服12月16日回應財新記者稱，目前初步判斷用戶信息泄漏導致的賬戶被盜，目前已主動聯系了蘇州警方，并提供了相關偵查線索。但目前為止，尚不能確定數據泄漏的原因是第三方數據泄漏引發的“撞庫”，亦或者是點擊不安全網絡鏈接或者下載了木馬軟件。

螞蟻金服方面強調，這些用戶的損失均能獲得全額理賠，且目前看來不會波及更多用戶。

對于支付寶2000元以下支付可以免密進行，被盜刷是否會波及更大范圍？螞蟻金服方面對財新記者解釋，用戶要盜刷支付寶前需經過兩層安全檢驗。第一步是登錄本身，如果有異地登錄或者更換移動端，支付寶系統會進行風險判斷。“比如說上一秒在北京，下一秒在上海，這就是有風險的賬戶，除了賬號和密碼，還需要雙因子驗證，比如說手機驗證碼的驗證。所以并不是賬號和密碼泄漏，就可以登錄。”螞蟻金服方面稱。

而即使是登錄賬戶之后，盜刷時進行支付本身也會再度進行安全驗證。“我們會統計盜刷的特有的行為特征，如果有賬戶出現相似的行為特征，那么也會被要求輸入賬號密碼，”螞蟻金服方面表示：“所以通常來看，即使是賬號密碼丟失，也不一定會發生盜刷。這時候除非我拿到你的手機或者給你的手機植入木馬，可以直接截獲手機驗證碼。”

螞蟻金服提醒用戶在設置移動支付賬戶的密碼時，盡量注意不要使用相同的密碼，此外定期更換并提高密碼安全等級。

上周末，“京東超過12G的數據疑似外泄”的文章廣泛傳播，并稱數據包已經在黑市開始流通。京東官方連夜發布聲明解釋，稱這些數據來源于2013年Struts 2的安全漏洞問題。當時大規模的互聯網用戶數據泄漏引起工信部介入調查。

事實上，支付寶也是2013年的數據泄漏影響的平臺之一，當時漏洞報告平臺烏云發布漏洞報告稱，千萬量級的支付寶賬戶泄漏，被用于網絡營銷，但里面只有支付用戶的賬號，沒有密碼。當時支付寶否認存在漏洞。

互聯網上存在的巨量用戶數據已經形成灰色產業鏈。阿里巴巴此前在其安全峰會上發布的數據顯示，中國網絡黑灰產業鏈的從業者已經超過了40萬人，依托其進行網絡詐騙的人數至少有160萬，年產值超過1100億元。

正是為了防止電信詐騙、賬戶盜刷風險，12月1日起，央行關于個人銀行賬戶分類管理的辦法正式實施，要求支付寶、微信支付等支付機構為單位和個人開立支付賬戶時，與單位和個人簽訂協議，約定支付賬戶與支付賬戶、支付賬戶與銀行賬戶之間的日累計轉賬限額和筆數，超出限額和筆數的，不得再辦理轉賬業務。支付寶和微信均將賬戶單日轉賬筆數上限設置為100筆。