|
|
||||||||
或與用戶在論壇曬單有關(guān),安全專家提示網(wǎng)友注意防范風(fēng)險(xiǎn)
個人信息又見裸奔!通過谷歌(Google)搜索引擎,輸入特定關(guān)鍵詞,竟能看到不少支付寶用戶的詳細(xì)轉(zhuǎn)賬信息,包括收付款賬戶、金額、用途等,這一情況被網(wǎng)友在前日晚間爆出后,立即引發(fā)“隱私泄露”恐慌。不過,羊城晚報(bào)記者昨日從支付寶了解到,經(jīng)過連夜技術(shù)處理,相應(yīng)問題已被修復(fù)。截至記者發(fā)稿時(shí),已被谷歌抓取的信息也已基本搜索不到,雖然有網(wǎng)友截屏流傳,但支付寶方面稱“僅憑這些信息不存在太大安全問題”。谷歌方面則對記者表示,目前不對此事作出評論。
2000多用戶轉(zhuǎn)賬信息被谷歌抓取
“支付寶轉(zhuǎn)賬付款結(jié)果未經(jīng)身份驗(yàn)證,可隨意查看轉(zhuǎn)賬詳情!”27日晚間,微博用戶“海先生V”貼出的一張圖讓網(wǎng)友驚呼:“支付寶出現(xiàn)重大安全漏洞!”“海先生”的微博隨后被實(shí)名認(rèn)證的IT人士“網(wǎng)路游俠”證實(shí):在谷歌上輸入“site:shenghuo.alipay.com轉(zhuǎn)賬付款”等特定關(guān)鍵詞,的確能出現(xiàn)大量支付寶轉(zhuǎn)賬信息。
記者在這些微博貼出的圖片和鏈接上看到,被谷歌搜索到的支付寶轉(zhuǎn)賬信息很詳細(xì),包括收付款賬戶、轉(zhuǎn)賬金額、付款說明等詳情。“支付寶泄露用戶隱私了!”不少網(wǎng)友擔(dān)憂起來,更有網(wǎng)友“趁火打劫”稱:“經(jīng)過2個小時(shí)奮戰(zhàn),2200萬支付寶數(shù)據(jù)順利搞到手,接下來分析一下,開始入庫EDM”,引起一陣騷動。
“在谷歌中搜到的結(jié)果只有2000多條,并非什么2200萬。”支付寶公關(guān)部人士稱,谷歌抓取的鏈接數(shù)在整個支付寶全年幾十億筆的交易中占極少部分。“不是漏洞導(dǎo)致的抓取。如果是漏洞引發(fā),也不可能只有兩千多條了。”該人士稱。
或是用戶在論壇分享導(dǎo)致
支付寶方面向羊城晚報(bào)記者解釋說,被谷歌抓取的信息是支付寶生活助手提供的轉(zhuǎn)賬付款結(jié)果頁面緩存,“通常情況下,支付寶對相關(guān)鏈接都進(jìn)行了安全保護(hù),任何搜素引擎都無法抓取。”
那為何還有2000多條被展示到了谷歌引擎上呢?“我們調(diào)查后發(fā)現(xiàn),不排除有少量用戶將自己的付款結(jié)果頁面在一些論壇上分享,從而造成某些搜索引擎可以抓取。”支付寶人士稱,大量被搜索引擎收錄的頁面在備注里都包含購買集郵品等信息,在相關(guān)論壇也發(fā)現(xiàn)有用戶會分享支付寶或網(wǎng)銀的付款結(jié)果頁面或鏈接,以向賣方證實(shí)自己已經(jīng)付款。
問題爆出后,昨日凌晨,支付寶已對相關(guān)頁面作了修改,抹去所有詳細(xì)信息,并升級了頁面保護(hù)等級,要查看轉(zhuǎn)賬詳情,必須交易方登錄本人支付寶賬戶才看得到。
記者昨日下午在谷歌上輸入上述關(guān)鍵詞,仍能搜索到這些信息快照,但點(diǎn)擊后已無法看到詳細(xì)內(nèi)容,360、百度等其他一些搜索引擎則搜索不到,至昨日晚間,谷歌也已基本屏蔽。
谷歌方面對羊城晚報(bào)記者表示目前不對此事作出評論。而有網(wǎng)友在微博中表示,這跟谷歌或其它搜索引擎沒有關(guān)系。搜索引擎只是根據(jù)robots協(xié)議和鏈接自動抓取和排序的,并無法“理解”這是否屬于隱私。
金山安全專家李鐵軍對記者表示,現(xiàn)在的病毒木馬,跟恐怖分子襲擊很相似,尤其針對與錢財(cái)相關(guān)的賬戶竊取密碼、網(wǎng)銀等隱私,得手后迅速撤退。這樣既不會引起警方高度注意,又能獲得直接的經(jīng)濟(jì)利益。“網(wǎng)站要對用戶賬戶實(shí)時(shí)監(jiān)控,一旦有異常,就應(yīng)該采取相應(yīng)措施提醒或警示。而用戶要盡快修改密碼,盡量是不同網(wǎng)站、不同賬號和密碼,此外在上網(wǎng)購物下單時(shí),應(yīng)嚴(yán)格按照規(guī)范流程進(jìn)行操作,付款時(shí)認(rèn)清收款方,避免出現(xiàn)將錢直接打進(jìn)黑客賬戶的情況。”
相關(guān)提醒:交易安全須時(shí)時(shí)警惕
近年來個人信息頻現(xiàn)裸奔,這些事件無不警示用戶諸多風(fēng)險(xiǎn)在“隨時(shí)隨地地潛藏”。
記者登錄一些集郵、投資論壇發(fā)現(xiàn),確實(shí)有一些網(wǎng)友在里面進(jìn)行郵票等投資品買賣,為了曬單和交易方便,有的人不僅貼上支付寶或網(wǎng)銀的付款結(jié)果鏈接或截圖,甚至?xí)诤灻麢n內(nèi)詳細(xì)列出自己的姓名、手機(jī)號、QQ號、家庭住址、銀行賬號等,雖然密碼等重要信息沒有泄露,但網(wǎng)友列出的郵箱很可能就是支付寶賬戶名,再加上其他一些詳細(xì)內(nèi)容,很難保證沒有潛在風(fēng)險(xiǎn)。
“密碼基本上是最后一道防線,如果能把風(fēng)險(xiǎn)保護(hù)做在前面,資金安全度也能大大提高。”支付寶承認(rèn),“安全和方便的平衡一直都是互聯(lián)網(wǎng)上的一道難題,會繼續(xù)努力做好這個平衡,做不好被罵就是活該。”
針對用戶擔(dān)心此前谷歌抓取的信息會否引發(fā)泄密等安全問題,支付寶方面稱,僅憑這些信息產(chǎn)生風(fēng)險(xiǎn)的可能性不大,但也建議用戶在交易時(shí)多采用數(shù)字證書、寶令等產(chǎn)品加強(qiáng)防范。羊城晚報(bào)記者劉薇 林曦
