近几日,在谷歌搜索引擎录入“site:”能搜到大量的支付宝付款转账信息,支付宝方面表示不排除少量用户将自己的付款结果页面在一些论坛上分享,从而造成某些搜索引擎可以抓取。
个人信息又见裸奔!通过谷歌(Google)搜索引擎,输入特定关键词,竟能看到不少支付宝用户的详细转账信息,包括收付款账户、金额、用途等,这一情况被网友在前日晚间爆出后,立即引发“隐私泄露”恐慌。不过,羊城晚报记者昨日从支付宝了解到,经过连夜技术处理,相应问题已被修复。截至记者发稿时,已被谷歌抓取的信息也已基本搜索不到,虽然有网友截屏流传,但支付宝方面称“仅凭这些信息不存在太大安全问题”。谷歌方面则对记者表示,目前不对此事作出评论。
2000多用户转账信息被谷歌抓取
“支付宝转账付款结果未经身份验证,可随意查看转账详情!”27日晚间,微博用户“海先生V”贴出的一张图让网友惊呼:“支付宝出现重大安全漏洞!”“海先生”的微博随后被实名认证的IT人士“网路游侠”证实:在谷歌上输入“site:转账付款”等特定关键词,的确能出现大量支付宝转账信息。
记者在这些微博贴出的图片和链接上看到,被谷歌搜索到的支付宝转账信息很详细,包括收付款账户、转账金额、付款说明等详情。“支付宝泄露用户隐私了!”不少网友担忧起来,更有网友“趁火打劫”称:“经过2个小时奋战,2200万支付宝数据顺利搞到手,接下来分析一下,开始入库EDM”,引起一阵骚动。
“在谷歌中搜到的结果只有2000多条,并非什么2200万。”支付宝公关部人士称,谷歌抓取的链接数在整个支付宝全年几十亿笔的交易中占极少部分。“不是漏洞导致的抓取。如果是漏洞引发,也不可能只有两千多条了。”该人士称。
或是用户在论坛分享导致
支付宝方面向羊城晚报记者解释说,被谷歌抓取的信息是支付宝生活助手提供的转账付款结果页面缓存,“通常情况下,支付宝对相关链接都进行了安全保护,任何搜素引擎都无法抓取。”
那为何还有2000多条被展示到了谷歌引擎上呢?“我们调查后发现,不排除有少量用户将自己的付款结果页面在一些论坛上分享,从而造成某些搜索引擎可以抓取。”支付宝人士称,大量被搜索引擎收录的页面在备注里都包含购买集邮品等信息,在相关论坛也发现有用户会分享支付宝或网银的付款结果页面或链接,以向卖方证实自己已经付款。
问题爆出后,昨日凌晨,支付宝已对相关页面作了修改,抹去所有详细信息,并升级了页面保护等级,要查看转账详情,必须交易方登录本人支付宝账户才看得到。
记者昨日下午在谷歌上输入上述关键词,仍能搜索到这些信息快照,但点击后已无法看到详细内容,360、百度等其他一些搜索引擎则搜索不到,至昨日晚间,谷歌也已基本屏蔽。
谷歌方面对羊城晚报记者表示目前不对此事作出评论。而有网友在微博中表示,这跟谷歌或其它搜索引擎没有关系。搜索引擎只是根据robots协议和链接自动抓取和排序的,并无法“理解”这是否属于隐私。
金山安全专家李铁军对记者表示,现在的病毒木马,跟恐怖分子袭击很相似,尤其针对与钱财相关的账户窃取密码、网银等隐私,得手后迅速撤退。这样既不会引起警方高度注意,又能获得直接的经济利益。“网站要对用户账户实时监控,一旦有异常,就应该采取相应措施提醒或警示。而用户要尽快修改密码,尽量是不同网站、不同账号和密码,此外在上网购物下单时,应严格按照规范流程进行操作,付款时认清收款方,避免出现将钱直接打进黑客账户的情况。”
相关提醒:交易安全须时时警惕
近年来个人信息频现裸奔,这些事件无不警示用户诸多风险在“随时随地地潜藏”。
记者登录一些集邮、投资论坛发现,确实有一些网友在里面进行邮票等投资品买卖,为了晒单和交易方便,有的人不仅贴上支付宝或网银的付款结果链接或截图,甚至会在签名档内详细列出自己的姓名、手机号、QQ号、家庭住址、银行账号等,虽然密码等重要信息没有泄露,但网友列出的邮箱很可能就是支付宝账户名,再加上其他一些详细内容,很难保证没有潜在风险。
“密码基本上是最后一道防线,如果能把风险保护做在前面,资金安全度也能大大提高。”支付宝承认,“安全和方便的平衡一直都是互联网上的一道难题,会继续努力做好这个平衡,做不好被骂就是活该。”
针对用户担心此前谷歌抓取的信息会否引发泄密等安全问题,支付宝方面称,仅凭这些信息产生风险的可能性不大,但也建议用户在交易时多采用数字证书、宝令等产品加强防范。
