您的位置
主页 > 站长资讯 > 评论 > » 正文

从任意通会员支付 看支付宝大面积泄漏转帐付款信息

来源: 未知 点击:

近期正常审核源码论坛(bbs.52jscn.com)的收费会员,突然有个会员发布的信息跟另一个会员的支付信息是一致的,该会员提供的支付信息都完整无误,而早前申请认证的会员除了只能提供支付信息外其余都提供不了,这个我们就很奇怪怎么会员的支付信息都被盗取了呢?并且此例事件多有发生,所以小编在Google中搜索 site:shenghuo.alipay.com 可以搜索到数百条用户的转帐付款结果页,点击任何一条都能看到付款人和收款人信息(包括邮箱或手机号)、金额、付款说明、交易时间等。

今天早间再尝试搜索时,发现索引的页面数量已经大幅减少、而且支付宝对详情页也做了处理,仅能看到「付款金额」项),说明支付宝已经对该事件进行了处理!

支付宝官方说法:

支付宝生活助手转帐付款结果页面结果页面一般用于支付双方展示支付结果,不含用户真实姓名、密码等重要信息,支付宝对这一页面链接加具了安全保护,正常情况下任何搜素引擎(注:应为搜索引擎,下同)都无法抓取,初步调查后发现,不排除有极少量用户将自己付款结果页面分享到公共区域,造成某些搜素引擎可爬取。

分析:

1、支付宝仅提到该页面没有用户账户名和密码,但认为用户的账户邮箱和手机号,以及一次完整的交易记录详情不是重要信息,这是经不住推敲的。一个黑客掌握了这些信息,已经足以运用到社会工程的攻击手段里去了。而且,今天已经有人在宣称“经过2小时奋战,2200万支付宝数据已经顺利搞到手,接下来分析一下,开始入库EDM吧”。且不说是否真有2200万之巨,即使只有1个人的这些数据泄漏并遭利用,支付宝也都是难辞其咎的。

另外,支付宝昨晚迅速地修改了页面,将邮箱、手机号及付款时间等信息隐去,这和他“重要信息”的概念范畴说法也是矛盾的。

2、正如该声明所说:该信息的泄漏,确实不排除有用户将自己的付款结果页面分享到其他的公共区域,才造成了爬虫的爬取。但这里其实涉及到两个问题:

一个是产品设计上,是否应该允许用户将付款信息页面的URL分享至其他互联网系统中去?是否应该允许非授权的访问?是否应该在页面提醒用户泄漏这些信息的风险?是否应该设置会话或页面的失效时间?

第二个是支付宝的爬虫策略,我们在shenghuo.alipay.com下并未发现robots.txt文件,那也就意味着,它是默认允许搜索引擎抓取收录的。如果在上一步的产品设计上,允许用户随意分享该页面,但又不设置屏蔽爬虫,那也意味着肯定要出现大规模泄漏上述信息的风险。

 

综上,我不得不怀疑,支付宝对于用户隐私信息安全的敏感度和周全程度,并没有我们想象中的那么高。之所以求全责备,是因为它掌握着数以千万用户的钱和真实信息,要得到用户的信任和托付,请先把自己的工作做得更扎实一些。

对了,支付宝在官方声明中称要奖励举报该信息的用户。但我觉得,它最应该做的,其实是跟受影响的用户道个歉。




首页  - 关于站长圈  - 广告服务  - 联系我们  - 关于站长圈  - 网站地图  - 版权声明