近幾日,在谷歌搜索引擎錄入“site:”能搜到大量的支付寶付款轉賬信息,支付寶方面表示不排除少量用戶將自己的付款結果頁面在一些論壇上分享,從而造成某些搜索引擎可以抓取。
個人信息又見裸奔!通過谷歌(Google)搜索引擎,輸入特定關鍵詞,竟能看到不少支付寶用戶的詳細轉賬信息,包括收付款賬戶、金額、用途等,這一情況被網友在前日晚間爆出後,立即引發“隱私泄露”恐慌。不過,羊城晚報記者昨日從支付寶瞭解到,經過連夜技術處理,相應問題已被修復。截至記者發稿時,已被谷歌抓取的信息也已基本搜索不到,雖然有網友截屏流傳,但支付寶方面稱“僅憑這些信息不存在太大安全問題”。谷歌方面則對記者表示,目前不對此事作出評論。
2000多用戶轉賬信息被谷歌抓取
“支付寶轉賬付款結果未經身份驗證,可隨意查看轉賬詳情!”27日晚間,微博用戶“海先生V”貼出的一張圖讓網友驚呼:“支付寶出現重大安全漏洞!”“海先生”的微博隨後被實名認證的IT人士“網路遊俠”證實:在谷歌上輸入“site:轉賬付款”等特定關鍵詞,的確能出現大量支付寶轉賬信息。
記者在這些微博貼出的圖片和鏈接上看到,被谷歌搜索到的支付寶轉賬信息很詳細,包括收付款賬戶、轉賬金額、付款說明等詳情。“支付寶泄露用戶隱私了!”不少網友擔憂起來,更有網友“趁火打劫”稱:“經過2個小時奮戰,2200萬支付寶數據順利搞到手,接下來分析一下,開始入庫EDM”,引起一陣騷動。
“在谷歌中搜到的結果只有2000多條,並非什麼2200萬。”支付寶公關部人士稱,谷歌抓取的鏈接數在整個支付寶全年幾十億筆的交易中佔極少部分。“不是漏洞導致的抓取。如果是漏洞引發,也不可能只有兩千多條了。”該人士稱。
或是用戶在論壇分享導致
支付寶方面向羊城晚報記者解釋說,被谷歌抓取的信息是支付寶生活助手提供的轉賬付款結果頁面緩存,“通常情況下,支付寶對相關鏈接都進行了安全保護,任何搜素引擎都無法抓取。”
那爲何還有2000多條被展示到了谷歌引擎上呢?“我們調查後發現,不排除有少量用戶將自己的付款結果頁面在一些論壇上分享,從而造成某些搜索引擎可以抓取。”支付寶人士稱,大量被搜索引擎收錄的頁面在備註裏都包含購買集郵品等信息,在相關論壇也發現有用戶會分享支付寶或網銀的付款結果頁面或鏈接,以向賣方證實自己已經付款。
問題爆出後,昨日凌晨,支付寶已對相關頁面作了修改,抹去所有詳細信息,並升級了頁面保護等級,要查看轉賬詳情,必須交易方登錄本人支付寶賬戶纔看得到。
記者昨日下午在谷歌上輸入上述關鍵詞,仍能搜索到這些信息快照,但點擊後已無法看到詳細內容,360、百度等其他一些搜索引擎則搜索不到,至昨日晚間,谷歌也已基本屏蔽。
谷歌方面對羊城晚報記者表示目前不對此事作出評論。而有網友在微博中表示,這跟谷歌或其它搜索引擎沒有關係。搜索引擎只是根據robots協議和鏈接自動抓取和排序的,並無法“理解”這是否屬於隱私。
金山安全專家李鐵軍對記者表示,現在的病毒木馬,跟恐怖分子襲擊很相似,尤其針對與錢財相關的賬戶竊取密碼、網銀等隱私,得手後迅速撤退。這樣既不會引起警方高度注意,又能獲得直接的經濟利益。“網站要對用戶賬戶實時監控,一旦有異常,就應該採取相應措施提醒或警示。而用戶要儘快修改密碼,儘量是不同網站、不同賬號和密碼,此外在上網購物下單時,應嚴格按照規範流程進行操作,付款時認清收款方,避免出現將錢直接打進黑客賬戶的情況。”
相關提醒:交易安全須時時警惕
近年來個人信息頻現裸奔,這些事件無不警示用戶諸多風險在“隨時隨地地潛藏”。
記者登錄一些集郵、投資論壇發現,確實有一些網友在裏面進行郵票等投資品買賣,爲了曬單和交易方便,有的人不僅貼上支付寶或網銀的付款結果鏈接或截圖,甚至會在簽名檔內詳細列出自己的姓名、手機號、QQ號、家庭住址、銀行賬號等,雖然密碼等重要信息沒有泄露,但網友列出的郵箱很可能就是支付寶賬戶名,再加上其他一些詳細內容,很難保證沒有潛在風險。
“密碼基本上是最後一道防線,如果能把風險保護做在前面,資金安全度也能大大提高。”支付寶承認,“安全和方便的平衡一直都是互聯網上的一道難題,會繼續努力做好這個平衡,做不好被罵就是活該。”
針對用戶擔心此前谷歌抓取的信息會否引發泄密等安全問題,支付寶方面稱,僅憑這些信息產生風險的可能性不大,但也建議用戶在交易時多采用數字證書、寶令等產品加強防範。
