链接：http://netsecurity.51cto.com/art/201303/387181.htm
日期：2013-03-29
近日，在微博上被认证为"网络游侠"的网友爆料称支付宝转账付款信息泄露，使用谷歌、360搜索则可以搜索出大量的支付宝转账付款信息，包括付款账户、收款账户、姓名、日期等，并且发出了贴图证实了这个现象。

按照网友的指点，有人在谷歌里输入site:shenghuo.alipay.com（相关关键词）进行站内搜索，显示的搜索结果近3000条，点开一条可以看到非常详细的付款信息。对此，有网友称，"做支付的、花钱的工具都出了安全问题，令我们的心又震惊了一下！"

随后，坊间有消息称，支付宝被爆出重大漏洞，用户的隐私数据遭到泄露。但是，一位阿里巴巴集团内部人士对记者表示，他们并没有听到过这方面的风声。

内部人士：有人晒自己的账单，原来北京一个比较大的商家还谁晒过自己的账单，把帐户名等都晒出去了，如果不是被分享出去的，我觉得支付宝在风控方面还是挺厉害的。如果是恶意泄漏，这个问题就严重了，如果有这种事情我们内部应该有信息，没听说过什么泄漏。

随后，艾瑞咨询分析师王维东也表示，这次客户信息泄露的程度并没有说的那么严重。

王维东：我看了一下，没有真正的泄漏一些客户的隐私，可能是客户隐私没有泄漏，是交易金额等相关内容的泄漏。

为了验证情况的严重性，有人在百度、搜狗、搜搜、360搜索、有道等搜索引擎进行了相关搜索。结果如下：

百度：相关搜索结果29个，没有上述页面。

360搜索：相关搜索129个，可以看到部分账户信息页面。

搜狗：相关搜索189条，没有上述页面。

搜搜：相关搜索0条。

有道：相关搜索56条，可以看到部分账户信息页面。

从这个结果来看，情况确实没有想象中严重。但是，可能原因之一是，支付宝在事情出现后，已经采取了相应的应对措施。支付宝公关总监陈亮在接受记者采访时介绍，事情出现后他们马上与搜索引擎厂商取得联系，对相关结果进行屏蔽。

陈亮：我们已经和搜索引擎厂商取得联系，对之前的抓取结果进行屏蔽，并且为了避免个别用户由于分享导致自己的信息被搜索引擎抓取，我们昨天晚上已经提升了生活助手付款结果页面的保护等级，现在的机制要求交易双方登录后才可以查看付款结果页面，任何其他人是无法查看的，这个在凌晨4点钟发布上线了，现在你进谷歌搜索引擎按照原来的方式搜索，点开链接已经无法查看了。

为什么会出现这个情况呢？用户的支付信息是怎么被泄露出去的？支付宝公关总监陈亮认为，这是客户分享的结果。

陈亮：比如购买一些邮票和钱币，在二手邮票和钱币交易网站里，用户由于没有现成的交易系统，多半通过回帖来跟发布这些商品收买信息的人完成交易，他们通过这样转嫁的方式，为了让卖家能够知道自己付款，就把这个付款链接贴给卖家，这样这个链接才被搜索引擎抓取了。

按照陈亮所说，这场风波是虚惊一场，并不值得担忧。但是，艾瑞咨询分析师王维东认为，这虽然不会对客户的支付安全造成什么威胁，但是在心理层面还是有一定的影响。

王维东：从用户的角度来讲，如果是单纯有一些社会层面的风险倒没有关系，但是这件事可能对支付宝的品牌造成一定的影响，这个事情出现之后，用户可能会担心他的相关信息泄漏和损失，从用户感知层面，可能会觉得支付宝存在一定的安全隐患。

[课程]Android-CTF解题方法汇总！