关注我们
QRcode 邮件联系 QRcode
主页 » 新闻资讯 » 正文

所谓查看支付宝用户转账记录漏洞,并非漏洞

 feng  720 ℃  0条点评

支付宝曝重大漏洞:交易记录可被搜索

3月27日晚间,有微博网友反映部分支付宝生活助手转账付款结果页面被谷歌抓取,支付宝方面调查表示,支付宝对相关页面链接加具了安全保护,正常情 况下任何搜素引擎都无法抓取。这次有付款结果页面被收录可能是因为有极少量用户主动将自己付款结果页面分享到公共区域,所谓漏洞真是虚惊一场。

据悉,3月28日凌晨,支付宝已经对相关页面做了修改,将付款结果页面的交易双方支付宝账号等信息全部去掉,增加一个消费记录详情的链接,该链接点击后需要交易双方登录后才可以查看,任何其他人都无法查看。

支付宝生活助手的转账付款结果页面一般用于支付双方展示支付结果,其中包括的信息包括交易双方的支付宝账号(一般是邮箱号)、交易金额、备注等,不含用户真实姓名、密码等重要信息。

支付宝方面表示,相关链接都进行了安全保护,正常情况下任何搜素引擎都无法抓取。谷歌抓取的链接一共是2000多条,在整个支付宝全年几十亿笔 的交易中只是极少部分,如果是漏洞就不可能只有2000多条。调查发现,大量被搜索引擎收录的页面在备注里都包含购买集邮品等信息,在相关论坛内也发现有 很多用户会分享支付宝或网银的付款结果页面或者链接,以向卖方证实自己已经付款。因此初步判断,这些分享可能是相关页面被搜索引擎抓取的原因。

记者在一家名为“中国投资资讯网交易在线”的论坛发现,不少网友在里面进行邮票等投资品买卖,为了晒单和交易方便,很多人不仅直接贴上支付宝或网银的付款结果链接或截图,甚至直接在签名档内详细列出了自己的姓名、手机号、QQ号、家庭住址、银行账号等信息。

微博认证为窝窝团研发副总裁的郑昀表示,不少转账付款行为都是购买邮品,所以各大搜索引擎收录来源是国内各种集邮交易论坛的晒单。

支付宝方面表示,为了避免用户的个别分享导致自己的信息被搜索引擎抓取,支付宝决定提升生活助手付款结果页面的保护等级,新的安全机制要求交易 双方需要登录后才可以查看付款结果页面,任何其他人都无法查看。这一修改已经于28日凌晨4点发布上线。所以,现在即使有用户继续分享付款结果页面的链 接,他人点击后也无法看到任何跟该用户支付宝账号相关的信息。

支付宝公关总监陈亮也在微博上表示,安全和方便的平衡一直都是互联网上的一道难题,支付宝会继续努力最好这个平衡,“做不好被骂那是活该”。

本文标签:
[转载]域 渗透实录
记QQ盗号木马QQ粘虫的发展史 大家小心
苹果电脑Mac OS系统又爆高危漏洞 可取得控制权苹果电脑Mac OS系统又爆高危漏洞 可取得控制权美国政府阻止中国黑客参加BlackHat黑客大会美国政府阻止中国黑客参加BlackHat黑客大会中国政府下令禁止国企找美国公司做咨询服务中国政府下令禁止国企找美国公司做咨询服务安全手机卖疯了:Blackphone厂商Silent Circle获3000万美元投资安全手机卖疯了:Blackphone厂商Silent Circle获3000万美元投资

已有0条评论,欢迎点评!

smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley

国际惯例, 沙发拿下 . . .


注册帐号  |  忘记密码