支付寶交易現(xiàn)泄露漏洞

個(gè)人用戶交易信息泄露至搜索引擎 支付寶緊急修復(fù)

京華時(shí)報(bào)訊前天晚上，支付寶曝出重大漏洞，用戶使用谷歌、百度、360搜索等搜索引擎可以搜索出大量的支付寶用戶交水電煤等生活服務(wù)類的交易記錄，其中包括付款賬戶、收款賬戶、姓名、日期甚至地址等信息。

記者發(fā)現(xiàn)，只要在搜索引擎中輸入“site:shenghuo.alipay.com”，則可以看到數(shù)百條支付寶相關(guān)交易記錄。其中，谷歌搜索在五六頁(yè)以后全部變?yōu)楦犊钣涗洝Ｒ恍﹤渥⒅校€有付（收）款人的姓名、電話和地址，這些信息中有些是淘寶交易的付款記錄，也有普通的支付寶轉(zhuǎn)賬。幸好，該記錄只有賬戶名、交易時(shí)間、用途等，并沒(méi)有密碼等核心數(shù)據(jù)。

360搜索方面相關(guān)負(fù)責(zé)人表示，這些結(jié)果被搜索抓取披露，有可能是支付寶的非授權(quán)訪問(wèn)出現(xiàn)了問(wèn)題，后臺(tái)驗(yàn)證不嚴(yán)的漏洞使得外部的搜索能看到半公開(kāi)的頁(yè)面，使得用戶不登錄支付寶賬戶也可以看到別人的交易記錄。

昨天，支付寶的官方微博對(duì)此事回應(yīng)稱，支付寶生活助手轉(zhuǎn)賬付款結(jié)果頁(yè)面一般用于支付雙方展示支付結(jié)果，不含用戶真實(shí)姓名、密碼等重要信息。這一頁(yè)面鏈接加具了安全保護(hù)，正常情況下任何搜索引擎都無(wú)法抓取。支付寶稱已將用戶付款頁(yè)面做部分信息隱藏。截至昨天，記者再搜索相關(guān)內(nèi)容，已經(jīng)找不到此前泄露的交易記錄。（記者李斌）