這個研究員叫申迪，是某公司專職研究移動支付安全的研究員。在兩年前，某公司公司就對手機支付的安全問題，進行了系統性的研究，隨著各種支付手段在手機上的應用，研究人員現在的工作量成倍的增加，每天展開的內部測試實驗很多，對于記者提出的疑問，申迪表示，公司要求一切的安全問題必須要進行實際測試實驗，有真實的測試，才能得出手機支付安全的報告。經公司同意后，申迪開始協助記者進行模擬手機丟失后，手機支付軟件可能發生的各種情況。
支付寶支付安全測試
申迪：支付寶一般之前開始的時候，會有這樣的一個解鎖界面，就是它有一個圖形解鎖，但是對于攻擊者來說，肯定不知道這個界面，第一步就要選擇忘記這個手勢密碼。那比如說對于攻擊者來說，肯定就不知道這個界面，所以他選擇忘記手勢密碼，他當然點擊這個時候，就會進入到下一步界面。這時候支付寶就提示重新登錄。然后這個時候，就可以輸入數字類型的密碼了，這個密碼他當然也不知道了。
相比較微信綁定銀行卡的程序，支付寶在一開始登陸的時候，就需要用戶輸入密碼，雖然安全程度和復雜程度更高，但這個密碼是否又能夠被破解呢?
申迪：比如說需要知道帳戶名，你看我們在初始界面的時候，其實這個帳戶名是被隱藏了一部分的，并不是一個完整帳戶名，那么就需要點擊忘記密碼，需要一個完整的用戶名，當然很有可能是一個手機號，所以這一步是可以繞過的，那比如說我現在輸入一個本機的手機號。

研究人員提醒我們，由于在現實操作中，很多消費者將自己的手機號碼設定為賬戶名，因此這次試驗就模擬了這種常見的情況，研究人員在賬戶一欄輸入手機號碼后，然后發送短信獲取手機的驗證碼。
申迪：驗證碼會發到這個手機賬號本身上，當然在撿到這部手機的情況下，就可以把驗證碼拿到了，那么進入下一步。但是下一步還有一個驗證，就是身份證號。需要知道這部手機機主的身份證號，對于這一步來說，就和微信是同一種情況下，就是說這個身份證號還是很難拿到。等于說攻擊者到這一步就沒有辦法了。
環節測試到這里，如果沒有獲得正確的身份證號碼的話，支付寶的登陸密碼也無法進行修改，為了進一步測試，記者假定手機獲得者能夠得到身份證信息，在修改了登陸密碼后，記者成功地登陸了這部手機上的支付寶的界面。賬號里的資金情況開始一清二楚。
申迪：資金帳戶余額沒有，銀行卡里面有三張，然后余額寶里有錢。