dadiwuchen 2013-3-28 14:47
支付宝转账信息被谷歌抓取 用户担心信息泄露[3P]
[align=center][img]http://images.cnitblog.com/news/157064/201303/27224627-aaa7fd1c9ddb40728b45e7f74dd4d316.jpg[/img][/align]
[align=left][align=center]截图显示,谷歌抓取了支付宝大量转账交易记录[/align]
3 月 27 日消息,有网友爆料称支付宝转账信息能够被谷歌抓取,大量用户隐私信息被泄露。很多网友担心自己的信息和资金安全,表示“再也不通过支付宝转账了”。
记者发现,在谷歌里搜索“site:shenghuo.alipay.com 转账付款”后,的确能出现大量支付宝转账信息。转账付款的信息非常精确,付款账户、收款账户、付款金额、付款说明以及付款信息一目了然,在一些备注中,还有付(收)款人的姓名、电话和地址,这些信息中有些是淘宝交易的付款记录,也有普通的支付宝转账。
事实上,直接搜索“site:shenghuo.alipay.com”就能搜到转账信息,数量超过 2000 条。记者随即致电支付宝 24 小时客服热线 95188 反映情况,按照记者提供的方法搜索,的确发现这一严重安全漏洞,客服人员表示,此前并不知道谷歌中能够搜索到转账信息,称将记录并向公司反映情况。
[b]支付宝回应部分付款结果被搜索引擎抓取[/b]
3 月 28 日凌晨消息,针对有网友曝光部分支付宝生活助手转账付款结果页面被搜索引擎抓取一事,支付宝今日发布官方微博称,付款结果页面一般用于支付双方展示支付结果,不含用户真实姓名、密码等重要信息。
支付宝表示,这一页面链接加具了安全保护,正常情况下任何搜索引擎都无法抓取。初步调查后发现,不排除有少量用户将自己付款结果页面分享到公共区域,造成某些搜索引擎可以爬取。
支付宝称已将用户付款页面做部分信息隐藏,进一步帮助用户保护个人隐私。
[align=center][img]http://images.cnitblog.com/news/66372/201303/28111517-ad95df353ee24eacadee544e1b1edd45.jpg[/img]
[/align]
[align=left] [b]分析:[/b]
1、支付宝仅提到该页面没有用户账户名和密码,但认为用户的账户邮箱和手机号,以及一次完整的交易记录详情不是重要信息,这是经不住推敲的。一个黑客掌握了这些信息,已经足以运用到社会工程的攻击手段里去了。而且,今天已经有人在宣称“经过 2 小时奋战,2200 万支付宝数据已经顺利搞到手,接下来分析一下,开始入库 EDM 吧”。且不说是否真有 2200 万之巨,即使只有 1 个人的这些数据泄漏并遭利用,支付宝也都是难辞其咎的。
另外,支付宝昨晚迅速地修改了页面,将邮箱、手机号及付款时间等信息隐去,这和他“重要信息”的概念范畴说法也是矛盾的。
2、正如该声明所说:该信息的泄漏,确实不排除有用户将自己的付款结果页面分享到其他的公共区域,才造成了爬虫的爬取。但这里其实涉及到两个问题:
一个是产品设计上,是否应该允许用户将付款信息页面的 URL 分享至其他互联网系统中去?是否应该允许非授权的访问?是否应该在页面提醒用户泄漏这些信息的风险?是否应该设置会话或页面的失效时间?
第二个是支付宝的爬虫策略,我们在 shenghuo.alipay.com 下并未发现 robots.txt 文件,那也就意味着,它是默认允许搜索引擎抓取收录的。如果在上一步的产品设计上,允许用户随意分享该页面,但又不设置屏蔽爬虫,那也意味着肯定要出现大规模泄漏上述信息的风险。
[align=center][img]http://images.cnitblog.com/news/66372/201303/28132724-f528190b7b7b4ed4a540cd2543f01ccf.jpg[/img]
[/align]
[align=left] 其实支付宝用户交易信息泄漏的问题,并不是昨晚才有的,早在 2012 年的 5 月 27 日,就有人将该漏洞提交到了乌云上,我们看到该漏洞被标注的类型为“敏感信息泄漏”,危害等级为“中”,乌云当天将细节通知了厂商,但 6 月 1 日更新的状态为“厂商已经主动忽略漏洞,细节想公众公开”。
非常遗憾,这一漏洞存在了已经 10 个月时间。而且官方的态度是主动忽略。
综上,我不得不怀疑,支付宝对于用户隐私信息安全的敏感度和周全程度,并没有我们想象中的那么高。之所以求全责备,是因为它掌握着数以千万用户的钱和真实信息,要得到用户的信任和托付,请先把自己的工作做得更扎实一些。
对了,支付宝在官方声明中称要奖励举报该信息的用户。但我觉得,它最应该做的,其实是跟受影响的用户道个歉。
[/align]
[/align]
[/align]
liuyang10k 2013-3-28 15:05
上帝啊,互联网好可怕,再也不敢用互联网了,嘿嘿
heewing 2013-3-28 19:39
这个不知道补好漏洞没有啊.上网交易确实太危险了.可是现在网购又实在太多人了.还是安全第一
supatkerr 2013-3-28 19:48
这的确是一个很大的问题,转账信息被搜索这个漏洞一定要尽快修复
insert2 2013-3-29 14:48
这个只是信息泄露,但是更恐怖的是其实大家在互联网上的任何行为都是在国家的监控下的
对国家而言,你是没有任何隐私可言的
seraphic04enix 2013-3-30 00:50
漏的都是平民的信息,国家重要机密情报没有泄露,就不是什么大事,支付宝觉得没必要道歉,姿态挺高的呀
第三方支付平台做得好,确实挺牛逼的,果然应了那句,越上位越看不起下位却不会看不起曾经的自己
lumang191 2013-3-30 14:15
应该注意个人隐私的保护啊,这很重要啊,互联网很不安全啊
洗风白马 2013-3-30 14:41
还是希望支付宝可以亡羊补牢!尽快修复存在的漏洞问题,想想那么多人都是在网上交易都是通过支付宝.
220477922 2013-4-21 17:47
谷歌这也抓 那还有什么信息不能抓啊
战旗 2013-5-17 14:16
这不是谷歌的错,是支付宝没有做好保护用户隐私的工作。
qmgh 2013-5-19 10:35
:wad16 是有问题,
但还没有到最致命的安全问题,如何从上述信息中找到发财机会,很在乎智慧
在线客服(1)