支付宝被曝重大漏洞 交易信息被搜索引擎抓取--社会--人民网
人民网>>社会

支付宝被曝重大漏洞 交易信息被搜索引擎抓取

2013年03月29日09:37    来源:南方日报    手机看新闻

  前晚,有网友在微博上爆出,使用谷歌搜索输入“site:shenghuo.alipay.com转账付款”即可看到各种转账信息,包括账户姓名、手机号等个人信息(如下图,网络图片)。昨日凌晨,支付宝官方微博回应称,极少量用户将自己付款结果页面分享到公共区域,造成某些搜索引擎可抓取。支付宝否认了“漏洞导致泄密”的说法,同时对这些信息做了紧急隐蔽处理。

  支付宝否认存在漏洞

  上述现象于前晚被人发现并发上微博。当晚,使用谷歌等搜索引擎,键入关键词“site:shenghuo.alipay.com转账付款”可以找出大量的支付宝交易记录,其中包括付款账户、收款账户、姓名、日期、手机号码、邮箱等,这种情况持续至昨日零时许。

  面对网友们的疑问,支付宝官方微博当晚快速做出回应:支付宝生活助手转账付款结果页面一般用于支付双方展示支付结果,不含真实姓名、密码等重要信息,支付宝对这一页面链接加具了安全保护,正常情况下任何搜索引擎都无法抓取。“我们今晚已经主动将用户付款结果页面做部分信息隐藏,进一步帮助用户保护个人隐私信息。”支付宝还提供了一个论坛的案例,用以佐证他们的调查结果。

  对于这次事件的调查过程,支付宝方面介绍:“昨天在接到用户反映后,我们把这些搜索结果一个个看了个遍,来判断其交易来源,然后又去看了相应的论坛,发现一些用户将自己的信息张贴了出来,之后经过与厂商的沟通分析之后,我们才得出了这一结论。”

  问题根源尚不明晰

  对于支付宝的“网友自己贴出信息”说,不少网友并不认同。

  网友@tobeathinker表示,懂搜索引擎site指令的都知道,搜索的范围将被限定在指定的域内,“site:shenghuo.alipay.com转账付款”到google搜索时,出来的内容只能是从shenghuo.alipay.com搜出的内容。

  然而,在一些论坛上,记者确实也发现了不少网友晒单的现象。

  在一家名为“中国投资资讯网交易在线”的论坛上,不少网友在里面进行邮票等投资品买卖,为了晒单和交易方便,很多人不仅直接贴上支付宝或网银的付款结果链接或截图,甚至直接在签名档内详细列出了自己的姓名、手机号、QQ号、家庭住址、银行账号等信息。

  微博认证为“窝窝团研发副总裁”的@郑昀表示,不少转账付款行为都是购买邮品,所以各大搜索引擎收录来源是国内各种集邮交易论坛的晒单。

  支付宝方面表示,为了避免用户的个别分享导致自己的信息被搜索引擎抓取,支付宝决定提升生活助手付款结果页面的保护等级,新的安全机制要求交易双方需要登录后才可以查看付款结果页面,任何其他人都无法查看。这一修改已经于28日凌晨4点发布上线。所以,现在即使有用户继续分享付款结果页面的链接,他人点击后也无法看到任何跟该用户支付宝账号相关的信息。

  支付宝公关总监陈亮在微博上表示,安全和方便的平衡一直都是互联网上的一道难题,支付宝会继续努力做好这个平衡,“做不好被骂那是活该”。

  昨日下午仍能搜到交易信息

  ■进展

  不过昨日下午,记者在Google输入“site:shenghuo.alipay.com”进行搜索,从检索结果第三页开始,仍能看到支付宝用户的交易信息。邮件、地址、姓名、手机号码、买了啥,一览无遗。记者随机拨打了一些号码。

  “你怎么知道我的电话、付款记录?这是我的隐私啊。”昨日下午,听到记者在电话中将付款说明、款额、日期、付款收款双方电话一项项报出来,电话那边的吴先生大吃一惊。搜索显示当时的付款说明为“山茶花公司货原胶全品2套票款”,吴先生立即核对自己手中的账单。2月27日,他确实向对方账户打了这笔370元货款,所有信息全部吻合。吴先生在广州做生意,经常用支付宝与客户进行资金往来,他想不通自己的信息为何出现在网上。

  昨日,记者在搜索到的信息中随意选出若干条进行核实,结果发现,几乎所有的信息都可以对得上号。对此,支付宝方面回应,目前搜索到的只是网页快照,他们正在与搜索运营商沟通,“google在处理过程中还有一些细则要遵循,因此需要一定的时间,请大家耐心等待。”(戴远程 张学斌 潘丽娜)

  

分享到:
(责任编辑:高泽华(实习)、孝金波)


24小时排行 | 新闻频道留言热帖