这是一种熟悉的下沉感。如果你一直使用的简易应用程序让你容易受到数字攻击呢？更糟糕的是，如果使它易于使用的功能与使它易受攻击的功能相同呢？

这是艾莉森·格里斯沃尔德（Alison Griswold）昨天写的一篇石板文章中的一个案例，文莫因安全措施松懈而受到指责。格里斯沃尔德跟踪了一名用户，该用户的账户被泄露，流失了近3000美元。受试者直到一整天后才发现，多亏了残疾通知。目前尚不清楚攻击者是如何进入的，但该公司不支持可能将他挡在门外的双重保护措施(Venmo的母公司PayPal为每笔交易提供双因素身份验证和强制通知，并重置密码。）最终，当事人从Chase获得退款，但不久后停用了他的Venmo账户。Twitter上对这篇文章的反应显示，许多用户对这篇文章的反应也是如此。

如果使其易于使用的功能与使其易受攻击的功能相同呢？

Venmo仍在权衡在新的宣传之后如何处理这些事件，但首席执行官Bill Ready表示，公司通常倾向于在不提醒用户的情况下解决欺诈问题，原因很简单。”他告诉我：“我认为，我们在如何更有效地就其中几个问题进行沟通方面存在一些有效的观点，但在许多情况下，我们希望能够无缝处理，因此我们在幕后工作。”这种幕后欺诈监控在信用卡行业很常见，但对于Griswold的主题来说，他只有48小时的时间来报告妥协，以确保退款，通知政策开始看起来更糟。即使文莫在幕后追踪欺诈，当事人也不清楚有哪些保护措施。更糟糕的是，他等了好几天才得到文莫的官方回应，暗示****真的崩溃了。

“我们想无缝处理。”

不过，尽管Venmo在****方面还有很多工作要做，但这款应用的安全性却比Griswold建议的要好。这篇文章中没有任何内容表明Venmo账户特别容易被黑客入侵，也没有任何内容表明Griswold的用户受到了任何在传统银行应用程序上不起作用的攻击。也没有证据表明Venmo在处理路由号码时有任何问题。在账户被泄露后，蔡斯推荐了一个全新的银行账户，暗示账户无法恢复，但系统并没有听起来那么糟糕。Venmo从不让用户看到路由或帐号-信息在公司服务器上保持加密，只在后端使用-因此没有理由相信泄露的Venmo帐户会泄露链接的银行帐户。

最大的安全批评是Venmo不支持双因素认证，部分原因是它的移动优先方法。但错过这一功能的并非只有文莫一人：花旗银行、Capital One和富国银行也不提供这一功能。他们应该-他们都应该但很难称之为独特的漏洞。如果Venmo用户真的需要额外的保护，该公司还提供了一个ATM式的PIN功能，每次登录时都会要求您输入一个永久的四位数。

但如果再多敲四个数字，可能会破坏游戏的乐趣。这是格里斯沃尔德批评的真正内容，更难动摇。Venmo为自己的无缝交易感到自豪——轻触一下就完成了——用户已经习惯了这种便利(这也可能是为什么PIN设置被隐藏在“设置”菜单中，而在注册过程中没有提及的原因。）这是一个非常有效的策略：根据Ready的数据，该公司上个季度共处理了9亿美元的业务，增长了10亿美元。对于用户和管理人员来说，额外的安全措施可能开始让人感觉像是一场不同寻常的成功游行的雨点。

现在说该公司将如何应对这些安全问题还为时过早，但这一信息似乎已经传达出去了。”“我认为有一些有效的反馈，”雷迪说，“我们将对此进行研究，”这是一个艰难的平衡行动，但现在可能是该公司转向更不方便但更安全的方式的时候了。如果人们不相信它，那么它的方便性就没有用了，在最近的批评之后，用户可能会欢迎一些额外的登录步骤。