你在用余额宝吗?你觉得它安全吗?
近日,国内著名信息安全反馈平台“乌云”曝出了一个支付宝的登录漏洞。
您先别慌,阿里巴巴官方称,这个漏洞当天已被修复,并未造成用户财产损失。
存余额宝的你,知道这事吗?这漏洞究竟是啥情况?到底对火爆的余额宝有何影响?
小编先简单介绍一下这个漏洞。如有细节错误,还请专业人士指正。(由于漏洞被修复,相关状态无法还原,个别图片使用知乎网友Evi1m0截图)
这个漏洞,操作起来很简单。任何人,打开谷歌,输入一个特定内容(就不列出来了,反正也修复了)
图中,这些搜出来的结果,任何人,点击进去后,都会自动进入他人淘宝账户页面,还可以直接跳到支付宝。任何人,只要遍历url中的user_num_id,就可以浏览任意账户。
最关键,这一切,根本不需要登录。
这么一说,你或许没啥直观感觉。那小编概括下该漏洞的几个特点:
1.你的身份信息全泄漏了
这是该漏洞最直接的威胁。当别人毫无阻碍地进入你的淘宝账户页面,后果就是你的姓名、手机号,快递地址等诸多隐私全都一览无遗。此外,你的余额宝余额,存储情况也都一清二楚。
2.不会直接影响你的支付宝账户
好吧,这大概是大家最关心的问题。这个漏洞并不能直接被利用来转移支付宝里的钱。人家支付宝毕竟不是吃素的。想把余额宝的账转出来,好歹是要转账密码的。这一步的验证,这个漏洞无法绕过。
3.影响不了的钱,坏事却能做很多
但是,如果你觉得因为这个漏洞无法直接威胁到财产安全,就认为这不是什么大事。
那你就太天真了。
作为一个成熟的系统,支付宝有许多接口,该漏洞相当于直接绕过了较复杂的登录接口。
打个比方,支付宝就是一个保险箱,打开他需要多层密码。现在这个漏洞让所有人可以绕过密码。直接打开了将近两扇门。虽然后面还有加密的门,但这已经相当程度简化了干坏事的成本。
而且,有了用户信息等隐私内容,“黑帽子”已然可以做很多坏事。最简单粗暴的方法就是“钓鱼”。根据这些信息,想“点对点”黑进你的账户并非难事。方法和原理就不详说了。
不过,幸好阿里巴巴及时修复了这个漏洞。而且还奖励了发现这个漏洞的“白帽子”5万元,并表示将继续拿出500万重奖那些帮助寻找漏洞的“白帽子”。
但是谁知道,未来还会不会有别的更厉害的漏洞呢?
要知道,去年3月27日,支付宝也曾曝出重大漏洞。同样是使用谷歌,就可以搜索出大量的支付宝交易记录,包括付款账户、收款账户、姓名、日期等。支付宝当夜修复了漏洞。
虽然漏洞情况不同,但信息安全问题,必须引起我们极大重视。
支付宝算得上很完善的支付体系,验证措施完备。但是,互联网世界从来就没有百分之百安全的,技术在发展,技术宅也越来越多。
而且,“树大招风”,余额宝如此大的收益,如此大的用户基数,被各种黑白帽子轮流夹攻,招架不住也不好说。这次被曝光的漏洞就是最好的例子。
所以,你如何看待这次漏洞?你还信任支付宝及各种互联网产品吗?你对网络信息安全问题又有何见解?我们一起讨论。
【短评】
首先,要为阿里巴巴解决问题的态度点个赞。
代码是人写的,漏洞几乎是无可避免的。纠结为何会出现漏洞没有意义。关键在于,如何弥补漏洞,减少损失。
在这点上,阿里巴巴做了榜样。他们对产品漏洞采取开放的态度,主动研究漏洞,甚至“悬赏”漏洞。这对完善产品,保障用户利益都有积极作用。互联网时代,任何一家公司都应该有这样的意识。
当然,信息安全同样需要用户自身提高安全意识。你的密码只是123456,就别怪人家没有保护好你的信息。尽可能使用复杂密码,尽可能多的加密,不要随意连陌生wifi…无论你相不相信马云,都请先做好自我防护。
除去技术问题,类似余额宝等涉及个人资产的互联网产品,仍需明确规定:丢了钱算谁的,谁该负责,怎么负责?运营由谁监督、安全由谁保障…解决这一系列问题,用户自然买得放心,企业也能规范运营。
信息安全,需要互联网公司进步的技术和理念,需要用户不断提高自我防范意识,需要更完善的法律监管,三者缺一不可,你说呢?
本文来源:不详 作者:佚名