“无需密码可随意登录淘宝、支付宝账号。”“淘宝认证缺陷导致可任意登录淘宝、支付宝账号。”昨天14时左右,来自国内互联网安全问题发布平台乌云漏洞报告平台的这样两条报告,让许多人立马停下手头的事儿,查看自己的淘宝账号是否安好。
昨日,淘宝网证实这是近期一个新业务规则引起的短时漏洞,并已在第一时间修复。支付宝公关部相关负责人则表示,经过核查,漏洞只涉及淘宝网,和支付宝无关。然而,漏洞因何而起,仍是一片疑云。
淘宝有漏洞 与支付宝无关
“你们谁敢告诉我你们的支付宝或者淘宝账号?只要账号,我就能进入到你们的账户!”昨天14时10分,名为“互联网的那点事”的微博大号发布的这么一条信息在网络上炸开了锅。
这条看似有些噱头的消息却被迅速证实。“叫板”信息刚刚发布1分钟之后,“互联网的那点事”在微博上公布了网友“forwhere”的淘宝账户截图。 图片上,“forwhere”在2月14日购买了6包猫砂和1把猫砂铲、1月6日使用支付宝购买联通充值卡等购物信息,一一在列。
这场风波源自20分钟前国内一家安全漏洞报告平台。
13时49分,乌云发出第一条漏洞报告。报告提交者“酸奶”表示,黑客通过搜索引擎,不用账号、密码,可直接获取用户的隐私,内容包括账户余额、交易记录、收货地址、姓名、手机号码等敏感信息。虽未太多披露漏洞细节,但提交者表示,漏洞源于“账户体系控制不严”。
就在不少网友还对这条消息将信将疑时,14时20分,乌云发出第二条针对淘宝、支付宝的漏洞报告,“淘宝认证缺陷导致可登录任意淘宝、支付宝账户”。报告提交者“沧浪浪拔出保健”表示,漏洞源于设计缺陷或逻辑错误,同时将这一危害等级设置为“高”。
“我余额宝里可放着10来万块钱呢,黑客该不会直接撬走吧?”在网上浏览到这条消息,尽管在第一时间里确定了自己的支付宝账户并无变化,在东单附近上班的李先生仍是有些不知所措。和他一样,不少网友都在担心,存有大额资金的余额宝账户是否变得不再安全。
17时,乌云爆出漏洞后的两个多小时后,淘宝网在官方微博上做出回应。
“今天下午,我们接到反馈称有用户可随意查询淘宝账户,经过我们的排查,确认这是近期一个新业务规则引起的短时漏洞。”淘宝网表示,已在第一时间完成 修复,同时确认没有用户因此漏洞引发资金风险和损失。此外,淘宝将给予此次漏洞发现者5万元现金奖励,而今年还将拿出500万元奖励漏洞发现者。
支付宝公关部相关负责人则告诉记者,他们经过核查,“漏洞只涉及淘宝网,和支付宝无关”。
淘宝漏洞究竟是咋出现的?
由于乌云对于两个漏洞只有寥寥几句描述,而淘宝方面也只是简单回应“已修复漏洞”。直到这场风波平静,不少用户仍是摸不着头脑,“漏洞究竟是咋出现的?”
依照乌云发布平台的规则,出于安全考虑,漏洞发现者在最初发现漏洞时并不会公开漏洞细节。只有在提交厂商后,等待厂商解决漏洞后,发布者才会择期公开 漏洞细节。昨天21时,记者再度登录乌云,这两条漏洞的发布页面上,披露状态都已被更新为“厂商已经确认,细节仅向厂商公开”。
就此,金山反病毒工程师李铁军解释说,此次乌云爆出的两条漏洞主要都涉及用户账户隐私,从危害等级来说都属于较高级别。
“其中一条漏洞讲的是,浏览器可以抓取到用户的交易信息。”李铁军解释说,依照正常流程,消费者在网上购物时,淘宝网对用户的交易信息都是严格保密 的,浏览器无法抓取到。可能是由于淘宝某项业务在处理过程中出现漏洞,使得“黑客”能够通过操作浏览器抓取到购物记录。而“任意登录账号”漏洞,则可能源 于淘宝服务器在处理一些关键信息时出现问题,使得“黑客”可以通过其他路径,绕过登录密码这道门槛。
“总体来看,漏洞更多对用户的账户隐私安全造成威胁。‘黑客’利用这两个漏洞通过网页可以浏览到账户信息,但并没有操作账户的权利。”李铁军表示,尽管漏洞爆出两个多小时就已被淘宝官方修复,消费者仍得警惕漏洞“后遗症”。
近期有发生交易行为,同时买的东西还没有到货的用户要格外警惕。“一旦不法分子拿到交易记录、伪装成卖家,借此发生退换货服务,就可能发生诈骗案件。”李铁军提醒,用户如果接到类似的退换货提醒,一定通过淘宝平台核实对方身份。
“从一定程度上讲,安全漏洞是不可避免的。”通信世界网刘启诚表示,国内包括阿里巴巴、腾讯等互联网公司都已经建立了一套较为完善的风险防控体系,但 如何减少漏洞、如何在第一时间封锁漏洞,仍是各家公司需要攻克的难题。不过,在漏洞发生后,尽快提醒用户风险所在、如何规避漏洞,这是互联网公司最该做 的,一刻也不能耽误。
新闻内存
淘宝、支付宝近期频频被爆出漏洞
■2013年10月 阿里旗下社交软件“来往”被爆出漏洞,“黑客”通过来往可破解用户淘宝账号。
■2013年12月 支付宝被爆出手势密码漏洞,连续随意输错五次支付宝手势密码,可进入手机的支付宝账户。
■2014年1月 支付宝被爆出身份认证漏洞,用户身份证信息被盗用后,他人可利用身份信息注册实名支付宝账户。
