|
????3月28日消息,支付寶27日晚間曝出重大漏洞,使用谷歌、360搜索則可以搜索出大量的支付寶交易記錄,包括付款賬戶、收款賬戶、姓名、日期等。
????該漏洞截至28日零點(diǎn),360等搜索引擎已經(jīng)無法搜索到相關(guān)結(jié)果,不過仍能搜索出2300余條記錄。 ????只要在搜索引擎中輸入“site:”,則可以看到記錄。其中,Google搜索在5、6頁以后全面變?yōu)楦犊钣涗洝?/p> ????該記錄只有賬戶名、交易時(shí)間、用途等,并沒有密碼等核心數(shù)據(jù)。 ????有技術(shù)人士表示,這些結(jié)果被披露,有可能是非授權(quán)訪問出現(xiàn)的問題,這讓后臺(tái)驗(yàn)證不嚴(yán)的漏洞使得外部的搜索能看到半公開的頁面。 ????IT法律專家趙占領(lǐng)表示,雖然目前不清楚出現(xiàn)該問題的具體原因,但這樣的信息公開如果存在信息安全風(fēng)險(xiǎn),可能面對(duì)大量投訴。 ???支付寶微博回應(yīng)部分付款信息被搜索引擎抓取
????針對(duì)網(wǎng)友曝光部分支付寶生活助手轉(zhuǎn)賬付款結(jié)果頁面被搜索引擎抓取事件,支付寶3月27日23點(diǎn)53分發(fā)布官方微博回應(yīng)稱: ????支付寶生活助手轉(zhuǎn)賬付款結(jié)果頁面一般用于支付雙方展示支付結(jié)果,不含用戶真實(shí)姓名、密碼等重要信息,支付寶對(duì)這一頁面鏈接加具了安全保護(hù),正常情況下任何搜索引擎都無法抓取。初步調(diào)查后發(fā)現(xiàn),不排除有極少量用戶將自己付款結(jié)果頁面分享到公共區(qū)域,造成某些搜索引擎爬蟲抓取。我們今晚已經(jīng)主動(dòng)將用戶付款結(jié)果頁面做部分信息隱藏,進(jìn)一步幫助用戶保護(hù)個(gè)人隱私信息。 ????針對(duì)支付寶的回應(yīng)速度和對(duì)事件的態(tài)度,網(wǎng)友普遍表示理解,但也有部分網(wǎng)友質(zhì)疑支付寶的解釋太過牽強(qiáng)。 |