您当前的位置:
用户质疑支付宝存安全漏洞 官方回应:因用户信息泄露
发布： | 分类：
人大经济论坛-经管之家：分享大学、考研、论文、会计、留学、数据、经济学、金融学、管理学、统计学、博弈论、统计年鉴、行业分析包括等相关资源。
经管之家是国内最大的在线教育咨询平台!
专题页面精选
　　10月10日，有用户通过社交网站称，支付宝实名认证存在漏洞。该用户表示，登录支付宝后无意间打开支付宝实名认证页面，自己的实名认证信息下多出了5个未知账户。对此，支付宝方面回应，可能是因为账户持有人存在自 ...
用户质疑支付宝存安全漏洞 官方回应:因用户信息泄露
　　10月10日，有用户通过社交网站称，支付宝实名认证存在漏洞。该用户表示，登录支付宝后无意间打开支付宝实名认证页面，自己的实名认证信息下多出了5个未知账户。对此，支付宝方面回应，可能是因为账户持有人存在自身身份证等个人隐私信息泄露，导致被关联认证；如账户被盗产生了资金损失，支付宝所合作的保险公司将对用户进行赔付，最高可赔100万。
　　该用 ...全文地址：
本文关键词： &&
您可能感兴趣的文章
本站推荐的文章
本文标题：
本文链接网址：
1.凡人大经济论坛-经管之家转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责；
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性，不作出任何保证或承若；
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
加入经管之家，拥有更多权限。　　【支付宝】用户敏感信息泄露　　在谷歌（google ）中输入site:，搜索结果中即可看到每个笔详细的订单明细，另外，360搜索、搜狗等也出现一些支付宝转账支付结果。　　　　与以往不同的是，泄漏的内容直接涉及大量敏感信息，包括付款账户、收款账户、付款金额、付款说明等。这些信息的敏感和重要程度超过以往信息泄漏事件中的网络服务账号，泄漏之后更容易给不法分子提供可乘之机，给用户带来重大的财产安全隐患。　　目前尚不清楚大量个人信息泄漏的原因，存在两种可能，一是支付宝存在安全漏洞，二是谷歌在抓取数据方面越界，突破了支付宝的技术保护措施。若是第一种情况，支付宝自身作为提供第三方支付服务的企业，应该采取远超一般互联网企业的安全保护措施，否则因为自身存在安全漏洞导致用户信息泄漏，应该承担法律责任，赔偿给用户造成的损失。　　若是第二种情况，则属于谷歌的责任，虽然搜索引擎通过技术手段自动抓取信息，但是不能超出必要限度，尤其是不能逾越其他企业的技术保护措施，抓取不公开的商业信息和个人信息。　　
楼主发言：6次 发图：5张
　　目前索引的页面数量已经大幅减少、而且支付宝对详情页也做了处理，仅能看到「付款金额」项）　　支付宝官方回应已修复相关漏洞，但在搜索页面第四页开始，仍可以看到交易详情。　　
　　支付宝官方说法：　　支付宝生活助手转帐付款结果页面结果页面一般用于支付双方展示支付结果，不含用户真实姓名、密码等重要信息，支付宝对这一页面链接加具了安全保护，正常情况下任何搜素引擎（注：应为搜索引擎，下同）都无法抓取，初步调查后发现，不排除有极少量用户将自己付款结果页面分享到公共区域，造成某些搜素引擎可爬取。
　　【黑客：2200万支付宝数据已经顺利搞到手】　　分析：　　1、支付宝仅提到该页面没有用户账户名和密码，但认为用户的账户邮箱和手机号，以及一次完整的交易记录详情不是重要信息，这是经不住推敲的。一个黑客掌握了这些信息，已经足以运用到社会工程的攻击手段里去了。而且，今天已经有人在宣称“经过2小时奋战，2200万支付宝数据已经顺利搞到手，接下来分析一下，开始入库EDM吧”。且不说是否真有2200万之巨，即使只有1个人的这些数据泄漏并遭利用，支付宝也都是难辞其咎的。　　另外，支付宝昨晚迅速地修改了页面，将邮箱、手机号及付款时间等信息隐去，这和他“重要信息”的概念范畴说法也是矛盾的。　　2、正如该声明所说：该信息的泄漏，确实不排除有用户将自己的付款结果页面分享到其他的公共区域，才造成了爬虫的爬取。但这里其实涉及到两个问题：　　一个是产品设计上，是否应该允许用户将付款信息页面的URL分享至其他互联网系统中去？是否应该允许非授权的访问？是否应该在页面提醒用户泄漏这些信息的风险？是否应该设置会话或页面的失效时间？　　第二个是支付宝的爬虫策略，我们在下并未发现robots.txt文件，那也就意味着，它是默认允许搜索引擎抓取收录的。如果在上一步的产品设计上，允许用户随意分享该页面，但又不设置屏蔽爬虫，那也意味着肯定要出现大规模泄漏上述信息的风险。
　　【漏洞10个月前被曝光，官方主动忽略】　　　　其实支付宝用户交易信息泄漏的问题，并不是昨晚才有的，早在2012年的5月27日，就有人将该漏洞提交到了乌云上，我们看到该漏洞被标注的类型为“敏感信息泄漏”，危害等级为“中”，乌云当天将细节通知了厂商，但6月1日更新的状态为“厂商已经主动忽略漏洞，细节想公众公开”。　　非常遗憾，这一漏洞存在了已经10个月时间。而且官方的态度是主动忽略。
　　【敏感信息直接关系用户财产，支付宝应该道歉】　　　　支付宝用户的各种交易信息被泄露！所有支付宝账号信息：邮件、地址、姓名、手机号码、买了什么。一览无遗！　　不得不怀疑，支付宝对于用户隐私信息安全的敏感度和周全程度，并没有我们想象中的那么高。之所以求全责备，是因为它掌握着数以千万用户的钱和真实信息，要得到用户的信任和托付，请先把自己的工作做得更扎实一些。　　对了，支付宝在官方声明中称要奖励举报该信息的用户。但我觉得，它最应该做的，其实是跟受影响的用户道个歉。
　　oh,my god!
　　还好我的支付宝绑定的银行卡一般只有在买东西的时候才会充钱进去
　　MLGB,现在有时广告电话、短信比业务上的都多！
　　真恐怖。　　真的查到了。　　有付款帐户、收款帐户、付款说明、付款金额。。。。。。。。
　　@行业爆料 4楼
13:39:31　　【漏洞10个月前被曝光，官方主动忽略】　　　　其实支付宝用户交易信息泄漏的问题，并不是昨晚才有的，早在2012年的5月27日，就有人将该漏洞提交到了乌云上，我们看到该漏洞被标注的类型为“敏感信息泄漏”，危害等级为“中”，乌云当天将细节通知了厂商，但6月1日更新的状态为“厂商已经主动忽略漏洞，细节想公众公开”。　　非常遗憾，这一漏洞存在了已经10个月时间。而......　　-----------------------------　　可恶啊！
　　啊，我的主要卡和支付宝绑定了　　
　　我看这些数据早就入库了,已经用得没什么价值了才有人公布出来
　　尼玛，这个要严重注意
　　　　这么久还没解决。。。
　　哇塞好没有安全感！！
　　网上泄露信息真的太可怕了　　上次天涯密码泄露不也是么　　恶心透了
　　摊上事了，摊上大事了。
　　太可怕了，谷歌往后面几页翻翻，还是可以在搜索页就看到大量的信息~~　　点击进去以后确实什么都没有，但搜索页上就已经被人看光光了！！！
　　那该怎么应对呢
　　。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
　　不解释，这是几大国有银行对支付宝的攻击
　　上网真的是不安全。
　　可怕。
　　难道是真的？　　
　　太可怕了！太可怕了！太可怕了！太可怕了！！.............原来我的支付宝裸奔了那么久那么久.........
　　必须关注。。
　　如果谷歌真的这么大本事 太佩服它了 怪不得人家工作环境那么优越呢　　
　　怎么搜的
我刚才试试搜了没有看见呀
　　@行业爆料 　　现在没了吧
　　。　　
　　好黑人啊！！！！
　　只在买东西时充钱　　
　　怎么办？卡绑定了呀
　　@棉麻女纸 36楼
16:03:42　　怎么搜的
我刚才试试搜了没有看见呀　　-----------------------------　　往后面几页翻一翻，搜索页上就能看到交易双方的账号金额，点击进去确实什么都没有，只有交易成功加上金额的字样。
　　我們這些外行，又被樓主玩的團團轉……
　　太恐怖了
　　没有查到啊，是不是谷歌看到LZ的帖子了
　　刚才搜索了下，这个看来还真能搜索到，不过看不到名字
　　@棉麻女纸
16:03:42　　怎么搜的
我刚才试试搜了没有看见呀　　-----------------------------　　@吃苦的苦瓜 42楼
16:18:13　　往后面几页翻一翻，搜索页上就能看到交易双方的账号金额，点击进去确实什么都没有，只有交易成功加上金额的字样。　　-----------------------------　　哦 果真看见了
　　好可怕的漏洞
　　不会吧 惨
　　搜了下，果然啊！！！！这个怎么破！！！
　　@行业爆料 如果说支付宝是故意的呢？
我绑定的信用卡好危险！！
　　还可以看到哦，，看搜索结果第6页试试。。。　　还好，我不用在线支付。。。
　　伲玛，顶起来要说法　　
　　网络其实有陷阱的，在获得巨大成功的同时，也隐藏着未知的危险。
　　南无阿弥陀佛 南无地藏王菩萨 惟愿菩萨慈悲救助!
　　店大欺客，看来千古不变啊，支付宝走到今天的规模和影响力，终于开始忽略用户感知和看法了
　　搜索了一下，已经看不到楼上的截图了。
　　很明显，这是某些集团眼红支付宝，不知楼主是否其中一员　　
　　天，我绑定的可是工资卡，oh my god
　　还好没什么钱，不过怎么感觉像是被人看穿了衣服底下的果体。
　　天啊 是真的 刚搜了 　　从第2页就开始有 姓打了*号，名字和支付宝账号都看得到- -
　　全球内衣交易网
路过 平时没注意啊
　　不是吧，刚刚试了下居然可以直接进入自己的支付宝，还不用输入账号密码！！！！！！！！太无耻了吧。支付宝怎么搞的啊
　　大家试试看，是不是这样啊！！
　　上面回复的人真的不是水军么，我也搜了，怎么就没有你们发现的那些呢
　　　　就是这样的啊
　　@莒南 67楼
17:08:55　　上面回复的人真的不是水军么，我也搜了，怎么就没有你们发现的那些呢　　-----------------------------　　难道你搜的跟我搜的不一样？我搜出来的结果是这样的：　　一个个对应的账号都在上面　　
　　我只想说一句，我CAO
　　不论楼主的出发点为何，确实是揭露了一个看上去很严重的问题。　　只是楼主，你贴图的时候，可不可以对别人的重要个人资料做些隐藏处理？冒冒然就贴在公共论坛，难免被有心的人利用哦！！
　　哈哈，把支付宝当神一样供着的傻X了吧。真以为支付宝有银行那种安全措施呀，什么都往上放，还整些对比，账单什么的。
　　@sanyuexunyu 7楼
14:33:59　　还好我的支付宝绑定的银行卡一般只有在买东西的时候才会充钱进去　　-----------------------------　　握爪！我也是，风险降最低限度
　　这不坑爹咧嘛，我说我支付宝怎么这两天少了一毛钱　　
　　支付宝怎么回事?　　总到处有问题?　　安全性严重值得怀疑...
　　安全很成问题啊。
　　这个要严重注意
　　好像看不了了
　　以前我的支付宝里的钱还被盗过，天啊！太吓人了
　　完了，我的支付宝刚下的单，应该没事吧！
　　@萌子来了 11楼
15:04:34　　啊，我的主要卡和支付宝绑定了　　-----------------------------　　我也是
　　哈哈，搜到的是因为你们自己的浏览器保存了你们支付宝的账户密码吧！像吾等从来关闭浏览器不保存cookie和历史记录的，怎么搜不到？
　　一串水军，TMD这是在给这个漏洞做广告吧！这手法已经不新鲜了哈。以前那个泄漏他人密码的网站也是这样，贼喊捉贼，变相广告。
　　回复第37楼，@　　怎么办？卡绑定了呀　　--------------------------　　解绑呗　　
　　摊上大事儿了
　　别鸡巴耸人听闻，没有用户名，你能猜出来不？？？傻逼
使用“←”“→”快捷翻页
请遵守言论规则，不得违反国家法律法规这名医生忙碌一天，累得虚脱，喝葡萄糖补充体力。
盛开的鲜花茂盛蔚为壮观，像印在墙上的鲜花瀑布。
声明：本文由入驻搜狐公众平台的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
　　一波未平一波又起。10月10日，新浪微博博主F9y4ng爆料称，发现其支付宝账户的实名认证信息下绑定了5个未知账户，但其完全没收到任何形式的确认或是告知信息，需要用户自己登录支付宝查看实名账户绑定情况；且不能直接解绑、需向支付宝客服申诉。
　　该博主认为，这意味着其他人可以利用他的实名认证身份信息贷款。支付宝人士对财新记者表示，“这的确是产品设计上不周到的地方，10月10日已经反馈给产品团队进行规划，将会从设计上进行改进”。
　　在一位公安部第三研究所专家看来，此前“知乎”上曝出的“蚂蚁花呗”因多次联系不上支付宝客户，而向其关联人追债，亦说明支付宝账户实名认证落实的效果并不好。“连借款人都搞不清、联系不上，说明不符合KYC原则，支付宝账户的身份识别有效性有多大？” KYC（知道你的客户）是国际反洗钱和实名认证开设银行账户的基本规则。显然支付宝账户的实名认证开户标准和KYC开户标准仍有较大差距。
　　目前支付宝是全球最大的第三方支付机构。来自支付宝数据显示，其实名认证账户约3亿多。
　　近年伴随中国互联网行业的高速发展，个人信息泄露亦呈高发趋势。分析人士称，随着支付宝的触角向金融业务不断延伸，这类由于个人信息泄露引发的风险漏洞会越来越多。
　　个人信息泄露隐患
　　10月8日，网友 F9y4ng发微博称在登录支付宝账户时，不经意发现自己的实名认证信息账户下被绑定了5个陌生的账户，也从未收到任何形式的确认或告知信息来校验，并且作为账户主体没有权限直接解绑。随后联系支付宝客服时，客服告诉他解绑功能还在研究，只能通过申诉后重新上传身份信息来解绑账户。
　　根据前述支付宝人士的回应，支付宝开通实名认证以来一直是这样的流程：当一位用户为支付宝账户申请实名认证信息时需要上传相应的信息，信息会被保存在支付宝系统中，当新的支付宝账户上传了和系统中一致的实名信息，则会被系统自动绑定于前述支付宝账户（可视为“主账户”）下，也不需要经过主账户的任何校验、没有任何通知。
　　10日下午，支付宝的官方微博发文回应此事，回答了事件的起因、网友的疑虑、出现风险的理赔办法。其中，支付宝将事件归因于个人信息泄露，称“如果发现支付宝实名认证账户下出现其他关联账户，是因为账户持有人存在自身身份证等个人隐私信息泄露的情况，导致被关联认证”。
　　这一点恰恰是众多支付宝用户不解的地方，他们认为实名认证关联子账户时，并不需要经过主账户的确认存在很大的认证漏洞。
　　该支付宝人士坦言，当初在产品设计时，考虑到如果子账户关联主账户时再进行确认，会带来很多用户体验的不便，同时在初始实名认证时也已经有过校验步骤，实名身份被盗用做关联也是极个别的现象，所以没有将其考虑在产品设计中。
　　11日下午，支付宝官方微博再度发文回应此事，表示对可能存在异常关联认证情况的账户做了释放处理。前述支付宝人士将“释放处理”解释为“把异常关联解除掉”，但未透露解除了多少个账户。
　　当天，的确有很多支付宝用户在网络上留言，称自己账户下原本关联的陌生账户现在已经看不到了，支付宝方面表示这是系统核查的结果。但仍有支付宝用户表示仍旧在申诉解除绑定过程中。据前述支付宝人士透露，系统进行核查的过程是根据对比个人信息泄露名单来排查。“但不可能获得全部的个人信息泄露的名单，所以剩下没被核查到的用户仍需通过电话联系支付宝申诉来解除绑定”。
　　他所指的个人信息泄露名单是指从黑市交易的个人信息泄露名单。比如某网站上的账号密码泄露，个人信息非法交易。
　　事实上，近年随着互联网产业的蓬勃发展，个人信息泄露事件已呈高发趋势，呈现出泄密渠道多、范围广、程度深的特点，个人信息买卖已经形成巨大的黑色产业链信息库。公开数据显示，黑客实际掌握用户数据库的数量已超过1亿条，中国黑客的黑色产业链规模或高达上百亿元。
　　业内人士表示，很多机构过度收集个人信息，但并不是每个机构都有能力保护这些庞大的“个人信息隐私库”。由于《个人信息保护法》缺位，对被泄露者而言，不仅危害巨大，普遍“维权难”。
　　支付宝方面称，下一步将会在技术上改进，增加关联认证成功的通知提醒。目前支付宝技术团队还在进行研究，尚未最终确定增加关联时采用通知提醒还是校验方式。这意味着，在系统完善前仍会存在支付宝用户的主账户被关联账户但并未受到确认信息的情况。
　　此前央行的一份内部报告，列举了近年支付机构的风险案例和支付系统漏洞。比如今年1月，某支付机构泄露了上千万张银行卡信息，涉及全国16家银行，截至7月31日由于伪卡形成的损失已达3900多万元。
　　央行这份报告称，支付机构普遍未落实账户实名制、风险意识薄弱、夸大宣传、一味追求支付便捷而忽视支付安全。
　　该报告还列举了八类风险案件，其中之一是黑客手段盗取支付宝客户资金系列案。2015年6月，珠海市公安机关侦破一宗横跨广东、黑龙江、四川、上海和浙江等5省（市）的特大利用黑客手段盗取支付宝资金系列案件，打掉一个非法买卖公民个人信息、制作扫描探测软件和实施网络套现的犯罪团伙，犯罪嫌疑人涉嫌盗窃支付宝账户117个，涉案金额7万余元。此外，嫌疑人电脑硬盘中存储各类公民个人信息40多亿条，涉及支付宝、京东和Paypal等支付账户达1000多万个，初步估算账户涉及资金近10亿元。
　　支付宝账户漏洞
　　根据支付宝用户在10月10日的反映，要想解除实名认证账户下已经绑定的支付宝账户，必须联系支付宝客户提出申诉，然后重新上传身份证等证件通过人工核查来解除绑定。这令许多用户不解，他们认为自己作为实名认证的主账户应该有权删除关联的子账户、并禁止账户绑定功能。
　　前述支付宝人士对此解释说，由于需要核实是否是真正的本人，“所以需要人工进一步校验。”
　　他介绍，人工校验的要求是上传身份证、户口本、社保卡这类证件，并上传本人手持证件的图片，支付宝工作人员据此来核实申诉人和证件上的照片是否是同一人。
　　不过，实际操作中，财新记者了解到，有的支付宝用户被要求上传证件，但有的支付宝用户却告诉财新记者，“投诉流程免除上传前述证件”。这意味着，他人也可以利用买来的个人信息申请解除绑定，不需要上传证件就能重新确认支付宝账户。
　　“操作不一致，显然支付宝内部管理混乱。”一位业内人士表示。
　　此前10日支付宝的官方微博发文曾发文称，支付宝实名认证，一贯需要通过身份证、银行卡等多重信息的验证。
　　根据支付宝官方网站上对于实名认证等级及对应权益的介绍，实名认证分为三个等级，第一级实名校验只是身份验证，第二级和第三级分别会增加银行卡验证和证件审核环节。当实名认证达到第二、三等级后，除了可使用转账、还款、缴费外，还可以享受理财、保险、贷款、淘宝开店等更多服务。
　　发帖的新浪微博博主F9y4ng向财新记者透露，他于2010年就进行了实名认证，已达到第三等级，所以担心自己需要为子账户的不良信用负责，同时担心自己的个人征信信息会受到影响。
　　前述支付宝人士对此向财新记者解释，实名认证对于贷款理财来说是一个基础，属于必要条件，但不是充分条件，“不是说有了实名就一定有贷款”。支付宝官方微博也回应，被绑定在实名用户账户下的子账户无法借用户身份发起蚂蚁花呗等贷款服务，这些贷款业务的开通会比对更全面的用户信息、对用户的历史消费数据进行参照外，还有额外的风控手段进行把控。
　　但在业内人士看来，前述案例说明支付宝账户的身份认证漏洞，这将带来一系列连锁问题。“芝麻信用的个人征信报告数据主要基于阿里集团包括支付宝的封闭体系的信息，如果基于支付宝账户的个人信用被盗用，谁来为征信数据的真实性、准确性负责？如果芝麻信用提供的个人征信报告出错，应承担何种责任？有无纠错机制？”
　　（来源：财新网）
欢迎举报抄袭、转载、暴力色情及含有欺诈和虚假信息的不良文章。
请先登录再操作
请先登录再操作
微信扫一扫分享至朋友圈
搜狐公众平台官方账号
生活时尚&搭配博主 /生活时尚自媒体 /时尚类书籍作者
搜狐网教育频道官方账号
全球最大华文占星网站-专业研究星座命理及测算服务机构
做汽车领域最牛B的财经人！做财经领域最牛B的汽车人。
主演：黄晓明/陈乔恩/乔任梁/谢君豪/吕佳容/戚迹
主演：陈晓/陈妍希/张馨予/杨明娜/毛晓彤/孙耀琦
主演：陈键锋/李依晓/张迪/郑亦桐/张明明/何彦霓
主演：尚格?云顿/乔?弗拉尼甘/Bianca Bree
主演：艾斯?库珀/ 查宁?塔图姆/ 乔纳?希尔
baby14岁写真曝光
李冰冰向成龙撒娇争宠
李湘遭闺蜜曝光旧爱
美女模特教老板走秀
曝搬砖男神奇葩择偶观
柳岩被迫成赚钱工具
大屁小P虐心恋
匆匆那年大结局
乔杉遭粉丝骚扰
男闺蜜的尴尬初夜
客服热线：86-10-
客服邮箱：支付宝交易号 订单号透露给别人有问题吗_百度知道
支付宝交易号 订单号透露给别人有问题吗
提问者采纳
反正已经发货了
到了也是打手机
不可能被人劫走
提问者评价
其他类似问题
为您推荐：
支付宝的相关知识
其他2条回答
没有问题，请不要过分担心
这个不影响的
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁The page is temporarily unavailable
nginx error!
The page you are looking for is temporarily unavailable.
Please try again later.
Website Administrator
Something has triggered an error on your
This is the default error page for
nginx that is distributed with
It is located
/usr/share/nginx/html/50x.html
You should customize this error page for your own
site or edit the error_page directive in
the nginx configuration file
/etc/nginx/nginx.conf.}