中国IDC圈3月29日报道:昨天晚间,有人在曝出“支付宝转账付款结果页面,无身份验证,可查看转账详情”的消息,并附带上了Google搜索的截图和多个详情页的截图。该消息被大量转发后,支付宝官方于晚间23点53分在微博中做了回应,称已做处理。
这一事件在科技媒体上出现了多种报道,大量有媒体极尽耸动的概括描写,向不知情的读者传递恐慌情绪、赚取关注,也有部分媒体仅引述了支付宝官方声明,大事化小。
我认为,支付宝作为国内最主要的第三方支付工具,管着数以千万用户的钱和与真实个人信息。媒体对于支付宝安全性的关注和监督,应该提高灵敏度,但也不宜有所夸大或隐瞒。
由于事实比较清楚,官方在回应中也做了具体说明。所以这件事情并不是复杂到看不清楚。以下是我的分析和看法:
主要事实:
昨天晚间,我在Google中搜索 site:shenghuo.alipay.com 可以搜索到数百条用户的转帐付款结果页,点击任何一条都能看到付款人和收款人信息(包括邮箱或手机号)、金额、付款说明、交易时间等。
今天早间再尝试搜索时,发现索引的页面数量已经大幅减少、而且支付宝对详情页也做了处理,仅能看到「付款金额」项)
支付宝官方说法:
支付宝生活助手转帐付款结果页面结果页面一般用于支付双方展示支付结果,不含用户真实姓名、密码等重要信息,支付宝对这一页面链接加具了安全保护,正常情况下任何搜素引擎(注:应为搜索引擎,下同)都无法抓取,初步调查后发现,不排除有极少量用户将自己付款结果页面分享到公共区域,造成某些搜素引擎可爬取。
分析:
1、支付宝仅提到该页面没有用户账户名和密码,但认为用户的账户邮箱和手机号,以及一次完整的交易记录详情不是重要信息,这是经不住推敲的。一个黑客掌握了这些信息,已经足以运用到社会工程的攻击手段里去了。而且,今天已经有人在宣称“经过2小时奋战,2200万支付宝数据已经顺利搞到手,接下来分析一下,开始入库EDM吧”。且不说是否真有2200万之巨,即使只有1个人的这些数据泄漏并遭利用,支付宝也都是难辞其咎的。
另外,支付宝昨晚迅速地修改了页面,将邮箱、手机号及付款时间等信息隐去,这和他“重要信息”的概念范畴说法也是矛盾的。
2、正如该声明所说:该信息的泄漏,确实不排除有用户将自己的付款结果页面分享到其他的公共区域,才造成了爬虫的爬取。但这里其实涉及到两个问题:
一个是产品设计上,是否应该允许用户将付款信息页面的URL分享至其他互联网系统中去?是否应该允许非授权的访问?是否应该在页面提醒用户泄漏这些信息的风险?是否应该设置会话或页面的失效时间?
第二个是支付宝的爬虫策略,我们在shenghuo.alipay.com下并未发现robots.txt文件,那也就意味着,它是默认允许搜索引擎抓取收录的。如果在上一步的产品设计上,允许用户随意分享该页面,但又不设置屏蔽爬虫,那也意味着肯定要出现大规模泄漏上述信息的风险。
其实支付宝用户交易信息泄漏的问题,并不是昨晚才有的,早在2012年的5月27日,就有人将该漏洞提交到了乌云上,我们看到该漏洞被标注的类型为“敏感信息泄漏”,危害等级为“中”,乌云当天将细节通知了厂商,但6月1日更新的状态为“厂商已经主动忽略漏洞,细节想公众公开”。
非常遗憾,这一漏洞存在了已经10个月时间。而且官方的态度是主动忽略。
综上,我不得不怀疑,支付宝对于用户隐私信息安全的敏感度和周全程度,并没有我们想象中的那么高。之所以求全责备,是因为它掌握着数以千万用户的钱和真实信息,要得到用户的信任和托付,请先把自己的工作做得更扎实一些。
对了,支付宝在官方声明中称要奖励举报该信息的用户。但我觉得,它最应该做的,其实是跟受影响的用户道个歉。