前天晚上,支付宝曝出重大漏洞,用户使用谷歌、百度、360搜索等搜索引擎可以搜索出大量的支付宝用户交水电煤等生活服务类的交易记录,其中包括付款账户、收款账户、姓名、日期甚至地址等信息。
记者发现,只要在搜索引擎中输入“site:shenghuo.alipay.com”,则可以看到数百条支付宝相关交易记录。其中,谷歌搜索在五六页以后全部变为付款记录。一些备注中,还有付(收)款人的姓名、电话和地址,这些信息中有些是淘宝交易的付款记录,也有普通的支付宝转账。幸好,该记录只有账户名、交易时间、用途等,并没有密码等核心数据。
360搜索方面相关负责人表示,这些结果被搜索抓取披露,有可能是支付宝的非授权访问出现了问题,后台验证不严的漏洞使得外部的搜索能看到半公开的页面,使得用户不登录支付宝账户也可以看到别人的交易记录。
昨天,支付宝的官方微博对此事回应称,支付宝生活助手转账付款结果页面一般用于支付双方展示支付结果,不含用户真实姓名、密码等重要信息。这一页面链接加具了安全保护,正常情况下任何搜索引擎都无法抓取。支付宝称已将用户付款页面做部分信息隐藏。截至昨天,记者再搜索相关内容,已经找不到此前泄露的交易记录。