贵州用户张兰微信账户在未开通刷脸支付的情况下，被人在安徽亳州通过刷脸支付盗刷106.64元。收款方为金色华联亳州万达广场店，且盗刷者在刷脸成功后还输入了张兰手机号后四位。监控显示盗刷者与张兰外貌不符。此事件暴露了微信刷脸支付可能存在安全漏洞和数据泄露风险。目前，腾讯已全额退款，但盗刷者如何远程开通刷脸支付、如何通过刷脸验证等问题仍待解。此事件提醒用户注意个人信息安全，并对刷脸支付的安全问题保持警惕。

⚠️用户未开通刷脸支付却被盗刷：贵州用户张兰在未开通刷脸支付的情况下，微信账户被异地盗刷，显示收款方为金色华联亳州万达广场店，这表明可能存在安全漏洞。

📱盗刷者掌握用户手机号后四位：盗刷者在刷脸支付成功后，还输入了张兰的手机号码后四位，这表明张兰的个人信息可能已经泄露，包括手机号码等敏感信息。

🤔刷脸验证如何被攻破：监控显示盗刷者与张兰外貌不符，但仍通过了刷脸验证，这引发了人们对刷脸支付安全性的担忧，盗刷者如何通过验证仍然是个谜。

🔒微信支付的双重验证失效：微信支付的刷脸支付需要先进行刷脸，然后输入微信支付绑定的手机号码后四位作为二次验证，但在此事件中，双重验证机制似乎失效了，这说明安全措施存在漏洞。

据正在新闻发布的消息，1 月 12 日晚上 6 点 48 分，贵州网友张兰 (化名) 微信收到到店刷脸支付开通成功和微信支付成功的通知，随后张兰发现她的微信账户被陌生人在安徽亳州使用刷脸支付成功付款 106.64 元。

检查交易记录张兰发现收款方为金色华联亳州万达广场店，支付方式为刷脸支付，而收款商家表示却有此事并且这个人结账时在刷脸成功后还输对了手机号码后四位。

目前微信的刷脸支付需要先进行刷脸然后输入微信支付绑定的手机号码后四位作为二次验证，所以从目前情况来看这应该不仅仅是微信支付的安全缺陷，还存在数据泄露问题。

金色花莲亳州万达广场店提供的监控记录显示，刷脸支付的人与张兰长相并不相似，张兰的手机号是在学校办理的而且并未更换过，同时也没有开通过微信的刷脸支付，随后张兰向微信支付提交被盗申赔同时在安徽亳州当地报警。

从以上报道中可以得出三个问题：

受害者原本并未开通刷脸支付而是盗刷者开通的受害者的手机号码等信息可能已经泄露盗刷者如何通过刷脸验证的

在其他刷脸验证导致盗刷的案例中我们知道有时候盗刷者可能会使用 AI 伪造视频骗过验证，但这种线下刷脸支付应该不至于拿个手机伪造的视频去验证，所以怎么通过验证的让人非常惊讶。

其次可以确定的是张兰的手机号码是肯定泄露了，否则盗刷者无法通过手机尾号后四位完成验证，然而，盗刷者如果准备充分那不应该只付款 106.64 元，而是进行大额消费才对。

至于盗刷者怎么远程开通的刷脸支付更让人摸不着头脑，这个问题的答案可能我们永远也不会知道，毕竟腾讯不太可能会在后续公布这件事的细节。

目前腾讯已经向用户进行全额退款作为补偿，腾讯称用户付款流程通过手机号和人脸识别双重认证，刷脸支付会根据用户风险级别在支付时加强身份验证，但具体情况还在沟通核实中。