3月27日晚间,有微博网友反映部分支付宝生活助手转账付款结果页面被谷歌抓取,支付宝方面调查表示,支付宝对相关页面链接加具了**保护,正常情况下任何搜素引擎都无法抓取。这次有付款结果页面被收录可能是因为有极少量用户主动将自己付款结果页面分享到公共区域,所谓漏洞真是虚惊一场。
事件
支付宝被指泄露客户信息
27日晚间,有网友在微博上爆出,使用谷歌搜索输入“site:shenghuo.alipay.com转账付款”即可看到各种转账信息,包括付款账户、收款账户、姓名、日期等。支付宝官方微博也在昨天凌晨对此事进行了回应,称初步调查后发现,不排除极少量用户将自己付款结果页面分享到公共区域,造成某些搜索引擎可抓取,并提供了一个论坛的案例。
回应
漏洞多因买家分享链接
微博认证为支付宝公关总监的陈亮昨日中午在其微博上发布了题为“技不如人被骂是活该,但我想把事情讲清楚”的长微博,就支付宝信息漏洞的问题予以官方回应。
支付宝方面表示,相关链接都进行了**保护,正常情况下任何搜素引擎都无法抓取。谷歌抓取的链接一共是2000多条,在整个支付宝全年几十亿笔的交易中只是极少部分,如果是漏洞就不可能只有2000多条。调查发现,大量被搜索引擎收录的页面在备注里都包含购买集邮品等信息,在相关论坛内也发现有很多用户会分享支付宝或网银的付款结果页面或者链接,以向卖方证实自己已经付款。因此初步判断,这些分享可能是相关页面被搜索引擎抓取的原因。
进展
官方已升级安保策略
支付宝方面表示,为了避免用户的个别分享导致自己的信息被搜索引擎抓取,支付宝决定提升生活助手付款结果页面的保护等级,新的**机制要求交易双方需要登录后才可以查看付款结果页面,任何其他人都无法查看。这一修改已经于28日凌晨4点发布上线。所以,现在即使有用户继续分享付款结果页面的链接,他人点击后也无法看到任何跟该用户支付宝账号相关的信息。