支付寶泄密：如何保衛(wèi)你的信息安全

除了少用、不用公用電腦進(jìn)行交易、設(shè)置長(zhǎng)密碼外，

定期更換密碼也是保護(hù)好自我隱私的重要手段。

只需要在谷歌上輸入特定的關(guān)鍵詞，就能看到支付寶用戶的轉(zhuǎn)賬信息，無(wú)論是收付款賬戶還是金額用途等，一覽無(wú)余?！弊罱?，有關(guān)支付寶轉(zhuǎn)賬信息竟然只在網(wǎng)上就能輕松搜到？！網(wǎng)友感嘆，我們的隱私已經(jīng)在網(wǎng)絡(luò)下被人看了個(gè)精光。

2000多條轉(zhuǎn)賬信息被谷歌抓取

事情發(fā)生在3月27日晚間，網(wǎng)名為“海先生V”的用戶在微博上貼出了一張圖片。圖片是一張?jiān)诠雀枭纤阉鞯降拇罅恐Ц秾氜D(zhuǎn)賬信息，非常詳細(xì)，其中包括用戶名、金額、說(shuō)明等。這一讓廣大網(wǎng)友毛骨悚然的圖片瞬時(shí)得到了大量轉(zhuǎn)發(fā)。

隨后，“海先生V”貼出圖片的真?zhèn)危杆俚玫搅撕芏鄬?shí)名認(rèn)證的IT人士、科技記者紛紛證實(shí)。只要在谷歌上輸入“site：shenghuo.alipay.com轉(zhuǎn)賬付款”等關(guān)鍵詞，的確會(huì)出現(xiàn)圖片中的情況。

“支付寶漏洞泄露用戶隱私”這一說(shuō)法引起網(wǎng)民恐慌。更有人不知真假的“落井下石”稱：“經(jīng)過(guò)2個(gè)小時(shí)奮戰(zhàn)，2200萬(wàn)支付寶數(shù)據(jù)順利搞到手，接下來(lái)分析一下，開(kāi)始入庫(kù)EDM。”

事件發(fā)生之后，支付寶展開(kāi)了調(diào)查。28日凌晨，支付寶已對(duì)相關(guān)頁(yè)面作了修改，抹去所有詳細(xì)信息，并升級(jí)了頁(yè)面保護(hù)等級(jí)，要查看轉(zhuǎn)賬詳情，必須交易方登錄本人支付寶賬戶才看得到。28日下午在谷歌上輸入特定的關(guān)鍵詞，仍能搜索到快照，但點(diǎn)擊后已無(wú)法看到詳細(xì)內(nèi)容，360、百度等其他一些搜索引擎則搜索不到。28日晚間，谷歌也已基本屏蔽。

支付寶公關(guān)部人士證實(shí)，在谷歌中搜索到的結(jié)果是2000多條，這一數(shù)字在支付寶全年幾十億筆的交易中占極小部分，并不是系統(tǒng)漏洞。如果是漏洞不會(huì)只抓取了這么少的信息。

那么這2000多條信息是如何泄露出來(lái)的呢？

只因用戶主動(dòng)分享？

支付寶給出的官方解釋是：支付寶生活助手轉(zhuǎn)帳付款結(jié)果頁(yè)面一般用于支付雙方展示支付結(jié)果，不含用戶真實(shí)姓名、密碼等重要信息，支付寶對(duì)這一頁(yè)面鏈接加具了安全保護(hù)，正常情況下任何搜索引擎都無(wú)法抓取，初步調(diào)查后發(fā)現(xiàn)，不排除有極少量用戶將自己付款結(jié)果頁(yè)面分享到公共區(qū)域，造成某些搜索引擎可爬取。

至于為什么用戶會(huì)把付款結(jié)果放在論壇等一些公共區(qū)域分享，支付寶的解釋是，用戶分享付款結(jié)果或頁(yè)面，一般是想向賣方或者收款方證明已經(jīng)付款。

“我們調(diào)查后發(fā)現(xiàn)，不排除有少量用戶將自己的付款結(jié)果頁(yè)面在一些論壇上分享，從而造成某些搜索引擎可以抓取?！敝Ц秾毴耸糠Q，大量被搜索引擎收錄的頁(yè)面在備注里都包含購(gòu)買集郵品等信息，在相關(guān)論壇也發(fā)現(xiàn)有用戶會(huì)分享支付寶或網(wǎng)銀的付款結(jié)果頁(yè)面或鏈接，以向賣方證實(shí)自己已經(jīng)付款。

這一說(shuō)法在隨后幾日見(jiàn)諸各大媒體，報(bào)道紛紛“以正視聽(tīng)”。支付寶微博也再次開(kāi)誠(chéng)布公：“這次有付款結(jié)果頁(yè)面被收錄可能是因?yàn)橛袠O少量用戶主動(dòng)將自己付款結(jié)果頁(yè)面分享到公共區(qū)域，所謂漏洞只是虛驚一場(chǎng)。安全和方便的平衡一直都是互聯(lián)網(wǎng)上的一道難題，我們會(huì)繼續(xù)努力做好這個(gè)平衡，做不好被罵那是活該?！?/p>

雖然如此，但看起來(lái)似乎都是用戶分享的錯(cuò)，搜索引擎、支付寶就沒(méi)有責(zé)任嗎？據(jù)北京郵電大學(xué)網(wǎng)絡(luò)技術(shù)研究院教授馬嚴(yán)介紹：“搜索引擎只是根據(jù)協(xié)議和鏈接自動(dòng)抓取和排序的，一個(gè)鏈接、一個(gè)鏈接的抓取，它不能夠理解什么該被訪問(wèn)，什么是隱私就不該被訪問(wèn)。當(dāng)然，支付寶可以要求搜索引擎去過(guò)濾掉這些信息，他們最后也是這么做的。但主要問(wèn)題還在于支付寶自身?！?/p>

支付寶難辭其咎？

Pingwest創(chuàng)始人、硅谷觀察家駱軼航對(duì)于這一事件進(jìn)行了詳細(xì)的分析。他認(rèn)為，雖然不排除是因?yàn)橛脩舴窒?，才造成爬蟲(chóng)爬取，但是支付寶是否應(yīng)該允許用戶將付款信息頁(yè)面分享至其他互聯(lián)網(wǎng)系統(tǒng)中去？是否應(yīng)該允許非授權(quán)的訪問(wèn)？是否應(yīng)該在頁(yè)面提醒用戶泄漏這些信息的風(fēng)險(xiǎn)？是否應(yīng)該設(shè)置會(huì)話或頁(yè)面的失效時(shí)間？這就是支付寶的管理不善。

馬嚴(yán)同樣認(rèn)為，這些數(shù)據(jù)都是在服務(wù)器一側(cè)，管理者完全可以在系統(tǒng)上屏蔽或者嚴(yán)格管理，這一點(diǎn)顯然支付寶沒(méi)有做好。

另一方面就是支付寶的爬蟲(chóng)策略。駱軼航及其團(tuán)隊(duì)在shenghuo.alipay.com的網(wǎng)站中并沒(méi)有發(fā)現(xiàn)防爬取的文件，也就是說(shuō)它是默認(rèn)允許引擎收錄的。并且默認(rèn)信息泄露并不是這幾天才有的。早在2012年5月27日，就有人發(fā)現(xiàn)了該漏洞。這一漏洞已存在了10個(gè)月，而官方一直是主動(dòng)忽略。

既沒(méi)有更加嚴(yán)格的管理，自身系統(tǒng)上又有著漏洞，支付寶對(duì)于用戶隱私信息安全的敏感度和周全程度已經(jīng)盡力。但是支付寶可是掌握著數(shù)以千萬(wàn)用戶的錢和真實(shí)信息，如果工作不做得更扎實(shí)，很容易就“攤上大事”。

用戶應(yīng)該更加小心

清華大學(xué)計(jì)算機(jī)系教授黃連生認(rèn)為，網(wǎng)絡(luò)對(duì)于個(gè)人信息的管理，先天就有這兩不安全。一個(gè)是軟件設(shè)計(jì)的問(wèn)題，一個(gè)是人員管理的問(wèn)題。而“一個(gè)信息幾毛錢”這種經(jīng)濟(jì)利益的趨使，也會(huì)讓網(wǎng)絡(luò)上的個(gè)人信息有一定的風(fēng)險(xiǎn)性。支付寶如果用密文的方式處理用戶信息，或者只有極少數(shù)人才能看到信息，就不會(huì)出現(xiàn)這種情況。

但如果把安全性提到這種高度，問(wèn)題也隨之而來(lái)。成本就要提高，效率就要降低。所以，對(duì)于進(jìn)行大規(guī)模但是小宗交易的支付寶來(lái)講，效率和成本會(huì)讓他們對(duì)安全有所忽視。

長(zhǎng)遠(yuǎn)來(lái)看，利用天然信息，例如指紋或者視網(wǎng)膜來(lái)加密，會(huì)讓網(wǎng)民的隱私更有安全性。但從目前來(lái)看，專家建議除了少用、不用公用電腦進(jìn)行交易、設(shè)置長(zhǎng)密碼外，定期更換密碼也是保護(hù)好自我隱私的重要手段?！?/p>