不少市民信赖的网上支付工具支付宝近日又曝出安全漏洞。3月28日消息,有网友在微博报料称,支付宝出现重大漏洞,在谷歌、360搜索等搜索软件输入“site:shenghuo.alipay.com转账付款”即可看到各种转账信息,包括付款账户、收款账户、姓名、日期等。消息一出,引发众网友对于自身信息和支付宝资金安全的担忧。
记者按照网友的指点,有人在谷歌里输入site:shenghuo.alipay.com(相关关键词)进行站内搜索,显示的结果近3000条,点开一条可以看到非常详细的付款信息。TechWeb报道称,在一些备注中,还有付(收)款人的姓名、电话和地址,这些信息中有些是淘宝交易的付款记录,也有普通的支付宝转账。
对此,支付宝方面昨天中午通过微博作出了回应,支付宝对相关页面链接加具了安全保护,正常情况下任何搜索引擎都无法抓取。“这次有付款结果页面被收录可能是因为有极少量用户主动将自己付款结果页面分享到公共区域,所谓漏洞只是虚惊一场。安全和方便的平衡一直都是互联网上的一道难题,我们会继续努力做好这个平衡,做不好被骂那是活该。”
分析人士称,从这个结果来看,情况确实没有想象中严重。可能原因之一是,支付宝在事情出现后,已经采取了相应的应对措施。据报道,支付宝公关总监陈亮在接受媒体采访时介绍,事情出现后他们马上与搜索引擎厂商取得联系,对相关结果进行了屏蔽。
支付宝隐私安全受质疑
据南方日报报道,记者在Google输入“site:shenghuo.alipay.com”进行搜索,从检索结果第三页开始,仍能看到支付宝用户的交易信息。邮件、地址、姓名、手机号码、买了啥,一览无遗。记者随机拨打了一些号码。
“你怎么知道我的电话、付款记录?这是我的隐私啊。”昨日下午,听到记者在电话中将付款说明、款额、日期、付款收款双方电话一项项报出来,电话那边的吴先生大吃一惊。搜索显示当时的付款说明为“山茶花公司货原胶全品2套票款”,吴先生立即核对自己手中的账单。2月27日,他确实向对方账户打了这笔370元货款,所有信息全部吻合。吴先生在广州做生意,经常用支付宝与客户进行资金往来,他想不通自己的信息为何出现在网上。
对于支付宝的解释,有网友并不认同。
网友@tobeathinker表示,懂搜索引擎site指令的都知道,搜索的范围将被限定在指定的域内,“site:shenghuo.alipay.com转账付款”到google搜索时,出来的内容只能是从shenghuo.alipay.com搜出的内容。
微博认证为“窝窝团研发副总裁”的@郑昀表示,不少转账付款行为都是购买邮品,所以各大搜索引擎收录来源是国内各种集邮交易论坛的晒单。
支付宝方面表示,为了避免用户的个别分享导致自己的信息被搜索引擎抓取,支付宝决定提升生活助手付款结果页面的保护等级,新的安全机制要求交易双方需要登录后才可以查看付款结果页面,任何其他人都无法查看。这一修改已经于28日凌晨4点发布上线。所以,现在即使有用户继续分享付款结果页面的链接,他人点击后也无法看到任何跟该用户支付宝账号相关的信息。
支付宝公关总监陈亮在微博上表示,安全和方便的平衡一直都是互联网上的一道难题,支付宝会继续努力做好这个平衡,“做不好被骂那是活该”。
按照陈亮所说,这场风波是虚惊一场,并不值得担忧。但是,艾瑞咨询分析师王维东认为,这虽然不会对客户的支付安全造成什么威胁,但是在心理层面还是有一定的影响。华南理工大学计算机协会则在其官方微博上提醒广大淘客,近期不要使用以免泄露个人信息。 |
