親歷餘額寶被盜一萬多，餘額寶的安全防線到底哪一個環節出了問題？

12-30

昨天29日登陸淘寶密碼發現死活登不上去，於是重置密碼，卻發現自己的賬號的安全證書被取消了，而且在已買到的寶貝裡面在淘寶二手裡面買了一件2000元的夏天T恤（拍下但未付款），立馬意識到賬號被盜，一看自己的餘額寶發現裡面不見了1萬多。在轉賬記錄裡面發現26日21點半的時候（是在我網購完後關閉電腦的時間，26日我網購20點之後的一切資金操作均非本人）被人從餘額寶轉出1萬到支付寶，然後不知道買了什麼，
交易記錄已經被刪除了。

後來打開支付寶綁定的郵箱才發現26日那天已經被取消了數字證書，且有異地登陸的情況。
「
您的支付寶賬戶已於 2013年11月26日 21:26:03 成功以手機方式取消了數字證書。」
「
根據支付寶風險監測系統的掃描結果，您的支付寶賬戶有異地登陸的情況，賬戶存在一定風險。為了確保您支付寶賬戶資金的安全，在郵件通知您之前，我們先行關閉了賬戶餘額支付功能，該功能的關閉不會影響您對支付寶賬戶的訪問。如有急需支付的交易，煩請暫時選擇網上銀行完成支付。」

詭異的是，昨天四點54還發現被從餘額寶轉了4000到支付寶上，讓後又用支付寶消費了100元，卻把剩下的錢退到我綁定的快截止支付的銀行卡。←這讓我百思不得其解，為什麼要如此多此一舉呢？
目前已經已和支付寶聯繫，報了向110報了案，凍結了餘額寶和支付寶的賬戶（淘寶的賬戶未凍結），支付寶是這樣說的：
」根據之前您對支付寶賬戶情況的反饋，特通知您支付寶用戶保障推出了餘額被盜的補償計劃，請您配合提供以下憑證，支付寶將核實您的帳戶是否符合餘額補償計劃範疇。
一、請在3個工作日內向我們提供您本人的身份證原件掃描件和報案回執單原件掃描件;
二、請您對支付寶完成賬戶安全維護操作。
1、請您先對電腦進行查殺病毒，重裝系統等安全操作；
2、如您已來電要求凍結賬戶，確定電腦沒有安全隱患之後，還需要使用支付寶賬戶，可按照以下鏈接里的流程開啟賬戶：（如果您沒要求凍結賬戶，請跳過這一步）
3、電腦確定沒有安全隱患之後請立即修改支付寶賬戶的登錄密碼、支付密碼、密碼保護問題及答案，以及對應的郵箱登錄密碼，和淘寶用戶相關密碼。
4、您作為買家的相關交易如非本人操作，請您儘快去公安機關進行報案，我們會配合公安機關進行處理。感謝您的配合與支持！

上傳你的附件信息
如果您點擊上述鏈接無效，請把下面的代碼拷貝到瀏覽器的地址欄中：
支付寶公司將在您的憑證及賬戶通過審核的三個工作日後將補償款項返還至您的支付寶賬戶，敬請留意！「
手機為安卓4.0.4安裝了支付寶錢包，平時軟體都是從goole play 上面下，安裝了騰訊的手機管家，電腦為win8.1系統,淘寶安全瀏覽器，聯通3G 卡。
淘寶為什麼不在我數字證書且異地登陸的時候這些異常操作的時通過設置密保問題之類的來驗證？而且金額巨大的異常網購應該能引起安全部門的注意從而果斷凍結賬戶吧？因為一般不會有用戶降低自己賬戶安全級別的操作。
這樣，在我手機未被盜的情況下，竟然讓我無法收到取消數字證書的簡訊！
目前已經把手機回復出廠設置，報案回執單警察說要在周一才能拿到，現在只有耐心等待。
想起來自己還無比相信支付寶的安全措施，我還跟我堅決不用餘額寶的朋友說，被盜只是一個小概率世界，比中獎的概率還低，但是沒想到讓我遇上了，密切注後續發展……
——————————————————

是一萬多，是淘寶安全中心專門打電話讓我恢復出廠設置的，難道我還怕隱瞞什麼？不過公安和淘寶到目前為止還沒說要檢查我手機，我絕沒有亂裝軟體、亂上XX網站的（最近安裝地軟體就是skype）謝謝！
我當然知道密保問題是在仍然更改密碼或帳戶的安全設置時才用的到的，我的問題是當一個賬號安全級別從高降到低的時候，隨後又有單筆大額資金轉出是不是餘額寶安全中心應該更為謹慎地對待？這是餘額寶噢，應該達到金融安全級別啊。
————————————————————————
【哇靠】媽蛋！再也不相信支付寶和餘額寶了！！連...
和這個妹子類似地情況

樓主想想之前有沒有用過公用或者沒有加密的wifi

如果有就有就可能是 arp欺騙攻擊，前幾天我正好做過一個測試，用arp注入javascript可以在受害者毫不察覺的情況下植入木馬（有的木馬是做過免殺的，所以安全軟體是無法察覺的）或執行一些非法的操作。

1、注意保護好個人信息。

2、經常更改密碼。

3、不要在太多機器(電腦、手機)登陸賬戶。

4、說個大家可能比較容易忽略的，就是陌生的wifi不要隨便連接。

5、電腦時常殺殺毒，少去你懂的網站。

首先，安全級別和使用的方便程度是成反比的，所以支付寶只好犧牲少數人的體驗，並且盡量賠償被盜的資金

其次，自己要盡量提高賬戶的安全級別，認識到麻煩點也是值得的

最後，經幾個技術朋友測試過，淘寶支付寶等手機客戶端有安全問題，比網頁風險大，建議除了自己的常用手機等之外，不要在別的終端上登錄，切記

和人家動輒十萬、百萬、千萬級別來說，你這才4000塊錢，算哪門數額巨大呀。

你這一系列事件中，做的最聰明、也是最愚蠢的事就是把手機恢復為出廠設置。

說是最聰明，你將手機恢復成出廠設置後，一切作案痕迹和線索就都沒了，就算是你有意無意在什麼時候裝了個流氓應用，它盜取了你的用戶名和密碼，別人再也不可能從你手機上發現你做過什麼了。

說是最愚蠢，同樣也是因為你把手機恢復成出廠設置，一切作案痕迹和線索就都沒了。你再也不可能從你手機上發現別人做過什麼了。

這叫死無對證。

有一點相當重要，支付寶也好，微博也好，裡面的安全設置還是挺多的，是選擇手機通知還是郵件通知，或是不通知，都是你自己在設置中設置的，我還從來沒發現設置了通知，操作完了沒發給我信息的情況。

而且到目前為止，你還不能證明是由手機上丟失了自己的用戶名和密碼。而密保問題是在仍然更改密碼或帳戶的安全設置時才用的到的，根本不是你異地登錄驗證時用的，從這一點上，你給我一種根本不懂安全設置的感覺。而且如你所說，你都是從google play上下應該，還有手機管理護航，那我更相信是你在電腦上亂裝軟體、亂上XX網站被盜了號，跟手機沒什麼關係了。當然了，這只是我根據你提供的情況的分析，如果你隱瞞、遺漏了信息，那情況就不一樣。

這不是為支付寶說好話，這是常識，我能理解你丟錢之後心急煩躁亂，看哪個都像偷你錢的人的心態，一定要找個能賠償你的人頂缸，不管他是不是真的作案人。

你在丟錢後將手機恢復成原廠設置等一系列舉動給破案造成了阻礙，所以你還是預先有個心理準備吧，這錢，是找不回來了，

這怎麼看都是安卓和windows惹的禍.....

從這個帖子來看,的確是安卓手機搞的

http://www.zhihu.com/question/21973112

暈，這麼不靠譜啊，我剛往餘額寶里充了點錢

「後來打開支付寶綁定的郵箱才發現26日那天已經被取消了數字證書，且有異地登陸的情況」這個很危險啊！

這種情況，錢追回來的可能性不大，個人建議諮詢下律師，能否從投訴阿里巴巴入手找回資金

360安全直播廳：誰在夢中動了你的銀行卡？

360安全直播廳：誰在夢中動了你的銀行卡？視頻是這個嗎？

個別情況的話，是自己不小心支付寶密碼被盜了吧，誰都沒辦法的。不是阿里資料庫泄漏就不能怪人家啊。