支付寶交易現泄露漏洞
個人用戶交易信息泄露至搜索引擎 支付寶緊急修復
京華時報訊前天晚上,支付寶曝出重大漏洞,用戶使用谷歌、百度、360搜索等搜索引擎可以搜索出大量的支付寶用戶交水電煤等生活服務類的交易記錄,其中包括付款賬戶、收款賬戶、姓名、日期甚至地址等信息。
記者發現,只要在搜索引擎中輸入“site:shenghuo.alipay.com”,則可以看到數百條支付寶相關交易記錄。其中,谷歌搜索在五六頁以后全部變為付款記錄。一些備注中,還有付(收)款人的姓名、電話和地址,這些信息中有些是淘寶交易的付款記錄,也有普通的支付寶轉賬。幸好,該記錄只有賬戶名、交易時間、用途等,并沒有密碼等核心數據。
360搜索方面相關負責人表示,這些結果被搜索抓取披露,有可能是支付寶的非授權訪問出現了問題,后臺驗證不嚴的漏洞使得外部的搜索能看到半公開的頁面,使得用戶不登錄支付寶賬戶也可以看到別人的交易記錄。
昨天,支付寶的官方微博對此事回應稱,支付寶生活助手轉賬付款結果頁面一般用于支付雙方展示支付結果,不含用戶真實姓名、密碼等重要信息。這一頁面鏈接加具了安全保護,正常情況下任何搜索引擎都無法抓取。支付寶稱已將用戶付款頁面做部分信息隱藏。截至昨天,記者再搜索相關內容,已經找不到此前泄露的交易記錄。(記者李斌)