前天晚上(3月27日),支付宝曝出重大漏洞,使用谷歌、360搜索可以搜索出大量的支付宝交易记录,包括付款账户、收款账户、姓名、日期等。
截至昨天(3月28日)零点,360等搜索引擎已经无法搜索到相关结果,不过Google.com.hk仍能搜索出2300余条记录。今天支付宝已经对此作了处理,使用Google也无法搜索到支付宝的交易记录了。在微博上,听说有人抓了2200万数据,对这一点我无法证实,不过前天晚上我试了一下,确定可以抓。
只要在搜索引擎中输入“site: shenghuo.alipay.com”,就可以看到记录。其中,Google搜索在5、6页以后全部变为付款记录。
对此,支付宝的解释是:
3月27日晚间,有新浪微博网友转发了豆瓣上一篇文章,反映在谷歌输入特定关键词可以搜索到支付宝生活助手服务的付款结果的页面。
生活助手付款结果页面一般用于支付双方展示支付结果,其中不含用户真实姓名、密码等重要信息。支付宝对这一页面链接加具了安全保护,任何搜素引擎都无法通过支付宝网站进行抓取。
那为什么会被搜索引擎抓取到呢?如果是漏洞的话,谷歌为什么只能抓取到2000多条,而不是支付宝全年几十亿笔呢?
我们连夜对此事进行了分析,认为不存在漏洞导致搜索引擎直接在支付宝站内抓取,如果是漏洞,就不可能只有2000多条。经过逐一查看发现,大部分被搜索引擎收录的页面在备注里都包含购买集邮品等信息,在相关论坛内(就不写具体网站名了)我们发现确实有很多用户会分享支付宝或网银的付款结果页面或者链接,以向卖方证实自己已经付款。我们初步判断,这些个别分享可能是相关页面被搜索引擎抓取的原因。
为了避免用户的个别分享导致自己的信息被搜索引擎抓取,我们决定提升生活助手付款结果页面的保护等级,新的安全机制要求交易双方需要登陆后才可以查看付款结果页面,任何其他人都无法查看。并且,这一修改已经于28日凌晨4点发布上线。所以,现在即使有用户继续分享付款结果页面的链接,他人点击后也无法看到任何跟该用户支付宝账号相关的信息。
除此之外,从昨天夜间开始,我们也已经和搜索引擎厂商取得联系,对此前的抓取的搜索结果进行屏蔽。
对于此种解释,蜗牛博客不敢认同,如果不是漏洞,如果如支付宝所说“任何搜素引擎都无法通过支付宝网站进行抓取”,那如何解释出现在Google结果中的那些记录呢?我现在倒只是希望可别过一段时间,像上次一样,网上到处可以下载XG的的数据库。
最后引用支付宝自己微博上的一句话作为结尾:做不好被骂那是活该。
作者: 蜗牛博客
网址: http://www.snailtoday.com/
版权所有。转载时必须以链接形式注明作者和原始出处及本声明。