|
|
||||||||
支付寶交易現(xiàn)泄露漏洞
個(gè)人用戶交易信息泄露至搜索引擎 支付寶緊急修復(fù)
京華時(shí)報(bào)訊前天晚上,支付寶曝出重大漏洞,用戶使用谷歌、百度、360搜索等搜索引擎可以搜索出大量的支付寶用戶交水電煤等生活服務(wù)類的交易記錄,其中包括付款賬戶、收款賬戶、姓名、日期甚至地址等信息。
記者發(fā)現(xiàn),只要在搜索引擎中輸入“site:shenghuo.alipay.com”,則可以看到數(shù)百條支付寶相關(guān)交易記錄。其中,谷歌搜索在五六頁(yè)以后全部變?yōu)楦犊钣涗洝R恍﹤渥⒅校€有付(收)款人的姓名、電話和地址,這些信息中有些是淘寶交易的付款記錄,也有普通的支付寶轉(zhuǎn)賬。幸好,該記錄只有賬戶名、交易時(shí)間、用途等,并沒(méi)有密碼等核心數(shù)據(jù)。
360搜索方面相關(guān)負(fù)責(zé)人表示,這些結(jié)果被搜索抓取披露,有可能是支付寶的非授權(quán)訪問(wèn)出現(xiàn)了問(wèn)題,后臺(tái)驗(yàn)證不嚴(yán)的漏洞使得外部的搜索能看到半公開(kāi)的頁(yè)面,使得用戶不登錄支付寶賬戶也可以看到別人的交易記錄。
昨天,支付寶的官方微博對(duì)此事回應(yīng)稱,支付寶生活助手轉(zhuǎn)賬付款結(jié)果頁(yè)面一般用于支付雙方展示支付結(jié)果,不含用戶真實(shí)姓名、密碼等重要信息。這一頁(yè)面鏈接加具了安全保護(hù),正常情況下任何搜索引擎都無(wú)法抓取。支付寶稱已將用戶付款頁(yè)面做部分信息隱藏。截至昨天,記者再搜索相關(guān)內(nèi)容,已經(jīng)找不到此前泄露的交易記錄。(記者李斌)