在网络搜索引擎上一搜,所有的人都能立刻看到你在网上交易时的付款账户、收款账户、支付金额等详细信息;如果再点击查看详情页面,你网购时使用的收货地址、姓名甚至手机号等个人信息也一览无余——这种情况绝非危言耸听,而是实实在在地发生过。
前日晚间,有网友反映,部分支付宝生活助手转账付款结果页面被谷歌搜索引擎抓取,个人信息遭到泄露。昨日,支付宝方面回应称,此次事件可能源于某些用户主动将自己付款结果页面分享到论坛上所致,只是“虚惊一场”,支付宝已连夜提升了对相关页面的保护等级,正常情况下任何搜索引擎都无法抓取。
惊险:姓名地址手机号全有
“用搜索引擎一搜,就能查到2000多条转账信息。”前日晚间,一位网友在微博上发出了一张截图。在这张不大的图片上,列出了10余条在谷歌搜索出的结果,全部是支付宝转账付款的信息。
“交易时间:2013年1月24日;付款账户:xxx@163.com;收款账户:xxx@sohu.com;付款金额:96元,付款说明:网购邮票款……”记者在这张截图上看到,这些本应只有付款人和收款人才能在支付宝页面上看到的交易详情,确实通过搜索引擎就可以查询到,成为了公开的信息。
而用户可能遭到泄露的信息还不止于此。如果搜索者在搜索引擎中点击查询结果,电脑屏幕上还会直接跳出“转账详情”页面。记者点开一个页面发现,在这则详情中除了付款账户、收款账户信息之外,每个人在网购时都需要填写的送货地址、单位名称、收货人真实姓名甚至手机号等更为隐私的个人信息也赫然在列。
回应:或因网友主动“晒单”
支付宝方面立即对此做出反应。“从3月28日凌晨开始,我们就对相关页面进行了调查。”支付宝相关负责人昨日表示,支付宝的“生活助手”转账付款结果页面,确实用于支付双方展示支付结果。
“但是,所有的相关链接都进行了安全保护,正常情况下任何搜索引擎都无法抓取。”该负责人表示,调查发现谷歌抓取的链接一共是2000多条。“在整个支付宝全年几十亿笔的交易中只是极少部分,如果是漏洞,就不可能只有2000多条。”
支付宝方面表示,调查发现,大量被搜索引擎收录的页面在备注里都包含购买集邮品等信息,在相关论坛内也发现有很多用户会分享支付宝或网银的付款结果页面或者链接,以向卖方证实自己已经付款。因此判断,搜索引擎正是抓取了这些分享付款结果的页面。
窝窝团研发副总裁郑昀也表示,不少转账付款行为都是购买集邮品,所以各大搜索引擎收录来源是国内各种集邮交易论坛的“晒单”。
措施:仅买卖双方可查看
这一说法是否属实?记者在一家名为“中国投资资讯网交易在线”的论坛发现,不少网友在里面进行邮票等投资品买卖,为了“晒单”和交易方便,很多人不仅直接贴上支付宝或网银的付款结果链接或截图,甚至直接在签名档内详细列出了自己的姓名、手机号、QQ号、家庭住址、银行账号等信息。
“这次有付款结果页面被搜索引擎抓取,可能是因为有极少量用户主动将自己付款结果页面分享到公共区域,所谓漏洞只是虚惊一场。”支付宝公关总监陈亮表示,为了避免用户的个别分享导致自己的信息被搜索引擎抓取,支付宝决定提升“生活助手”付款结果页面的保护等级。
“新的安全机制要求交易双方需要登录后才可以查看付款结果页面,任何其他人都无法查看。”陈亮表示,这一修改已于昨日凌晨4点发布上线。“所以,现在即使有用户继续分享付款结果页面的链接,他人点击后也无法看到任何跟该用户支付宝账号相关的信息。”