近幾日,在谷歌搜尋引擎錄入“site:”能搜到大量的支付寶付款轉賬資訊,支付寶方面表示不排除少量使用者將自己的付款結果頁面在一些論壇上分享,從而造成某些搜尋引擎可以抓取。
個人資訊又見裸奔!通過谷歌(Google)搜尋引擎,輸入特定關鍵詞,竟能看到不少支付寶使用者的詳細轉賬資訊,包括收付款賬戶、金額、用途等,這一情況被網友在前日晚間爆出後,立即引發“隱私洩露”恐慌。不過,羊城晚報記者昨日從支付寶瞭解到,經過連夜技術處理,相應問題已被修復。截至記者發稿時,已被谷歌抓取的資訊也已基本搜尋不到,雖然有網友截圖流傳,但支付寶方面稱“僅憑這些資訊不存在太大安全問題”。谷歌方面則對記者表示,目前不對此事作出評論。
2000多使用者轉賬資訊被谷歌抓取
“支付寶轉賬付款結果未經身份驗證,可隨意檢視轉賬詳情!”27日晚間,微博使用者“海先生V”貼出的一張圖讓網友驚呼:“支付寶出現重大安全漏洞!”“海先生”的微博隨後被實名認證的IT人士“網路遊俠”證實:在谷歌上輸入“site:轉賬付款”等特定關鍵詞,的確能出現大量支付寶轉賬資訊。
記者在這些微博貼出的圖片和連結上看到,被谷歌搜尋到的支付寶轉賬資訊很詳細,包括收付款賬戶、轉賬金額、付款說明等詳情。“支付寶洩露使用者隱私了!”不少網友擔憂起來,更有網友“趁火打劫”稱:“經過2個小時奮戰,2200萬支付寶資料順利搞到手,接下來分析一下,開始入庫EDM”,引起一陣騷動。
“在谷歌中搜到的結果只有2000多條,並非什麼2200萬。”支付寶公關部人士稱,谷歌抓取的連結數在整個支付寶全年幾十億筆的交易中佔極少部分。“不是漏洞導致的抓取。如果是漏洞引發,也不可能只有兩千多條了。”該人士稱。
或是使用者在論壇分享導致
支付寶方面向羊城晚報記者解釋說,被谷歌抓取的資訊是支付寶生活助手提供的轉賬付款結果頁面快取,“通常情況下,支付寶對相關連結都進行了安全保護,任何搜素引擎都無法抓取。”
那為何還有2000多條被展示到了谷歌引擎上呢?“我們調查後發現,不排除有少量使用者將自己的付款結果頁面在一些論壇上分享,從而造成某些搜尋引擎可以抓取。”支付寶人士稱,大量被搜尋引擎收錄的頁面在備註裡都包含購買集郵品等資訊,在相關論壇也發現有使用者會分享支付寶或網銀的付款結果頁面或連結,以向賣方證實自己已經付款。
問題爆出後,昨日凌晨,支付寶已對相關頁面作了修改,抹去所有詳細資訊,並升級了頁面保護等級,要檢視轉賬詳情,必須交易方登入本人支付寶賬戶才看得到。
記者昨日下午在谷歌上輸入上述關鍵詞,仍能搜尋到這些資訊快照,但點選後已無法看到詳細內容,360、百度等其他一些搜尋引擎則搜尋不到,至昨日晚間,谷歌也已基本遮蔽。
谷歌方面對羊城晚報記者表示目前不對此事作出評論。而有網友在微博中表示,這跟谷歌或其它搜尋引擎沒有關係。搜尋引擎只是根據robots協議和連結自動抓取和排序的,並無法“理解”這是否屬於隱私。
金山安全專家李鐵軍對記者表示,現在的病毒木馬,跟恐怖分子襲擊很相似,尤其針對與錢財相關的賬戶竊取密碼、網銀等隱私,得手後迅速撤退。這樣既不會引起警方高度注意,又能獲得直接的經濟利益。“網站要對使用者賬戶實時監控,一旦有異常,就應該採取相應措施提醒或警示。而使用者要儘快修改密碼,儘量是不同網站、不同賬號和密碼,此外在上網購物下單時,應嚴格按照規範流程進行操作,付款時認清收款方,避免出現將錢直接打進黑客賬戶的情況。”
相關提醒:交易安全須時時警惕
近年來個人資訊頻現裸奔,這些事件無不警示使用者諸多風險在“隨時隨地地潛藏”。
記者登入一些集郵、投資論壇發現,確實有一些網友在裡面進行郵票等投資品買賣,為了晒單和交易方便,有的人不僅貼上支付寶或網銀的付款結果連結或截圖,甚至會在簽名檔內詳細列出自己的姓名、手機號、QQ號、家庭住址、銀行賬號等,雖然密碼等重要資訊沒有洩露,但網友列出的郵箱很可能就是支付寶賬戶名,再加上其他一些詳細內容,很難保證沒有潛在風險。
“密碼基本上是最後一道防線,如果能把風險保護做在前面,資金安全度也能大大提高。”支付寶承認,“安全和方便的平衡一直都是網際網路上的一道難題,會繼續努力做好這個平衡,做不好被罵就是活該。”
針對使用者擔心此前谷歌抓取的資訊會否引發洩密等安全問題,支付寶方面稱,僅憑這些資訊產生風險的可能性不大,但也建議使用者在交易時多采用數字證書、寶令等產品加強防範。
