支付寶泄密：如何保衛你的信息安全

除了少用、不用公用電腦進行交易、設置長密碼外，

定期更換密碼也是保護好自我隱私的重要手段。

只需要在谷歌上輸入特定的關鍵詞，就能看到支付寶用戶的轉賬信息，無論是收付款賬戶還是金額用途等，一覽無余。”最近，有關支付寶轉賬信息竟然只在網上就能輕松搜到？！網友感嘆，我們的隱私已經在網絡下被人看了個精光。

2000多條轉賬信息被谷歌抓取

事情發生在3月27日晚間，網名為“海先生V”的用戶在微博上貼出了一張圖片。圖片是一張在谷歌上搜索到的大量支付寶轉賬信息，非常詳細，其中包括用戶名、金額、說明等。這一讓廣大網友毛骨悚然的圖片瞬時得到了大量轉發。

隨后，“海先生V”貼出圖片的真偽，迅速得到了很多實名認證的IT人士、科技記者紛紛證實。只要在谷歌上輸入“site：shenghuo.alipay.com轉賬付款”等關鍵詞，的確會出現圖片中的情況。

“支付寶漏洞泄露用戶隱私”這一說法引起網民恐慌。更有人不知真假的“落井下石”稱：“經過2個小時奮戰，2200萬支付寶數據順利搞到手，接下來分析一下，開始入庫EDM。”

事件發生之后，支付寶展開了調查。28日凌晨，支付寶已對相關頁面作了修改，抹去所有詳細信息，并升級了頁面保護等級，要查看轉賬詳情，必須交易方登錄本人支付寶賬戶才看得到。28日下午在谷歌上輸入特定的關鍵詞，仍能搜索到快照，但點擊后已無法看到詳細內容，360、百度等其他一些搜索引擎則搜索不到。28日晚間，谷歌也已基本屏蔽。

支付寶公關部人士證實，在谷歌中搜索到的結果是2000多條，這一數字在支付寶全年幾十億筆的交易中占極小部分，并不是系統漏洞。如果是漏洞不會只抓取了這么少的信息。

那么這2000多條信息是如何泄露出來的呢？

只因用戶主動分享？

支付寶給出的官方解釋是：支付寶生活助手轉帳付款結果頁面一般用于支付雙方展示支付結果，不含用戶真實姓名、密碼等重要信息，支付寶對這一頁面鏈接加具了安全保護，正常情況下任何搜索引擎都無法抓取，初步調查后發現，不排除有極少量用戶將自己付款結果頁面分享到公共區域，造成某些搜索引擎可爬取。

至于為什么用戶會把付款結果放在論壇等一些公共區域分享，支付寶的解釋是，用戶分享付款結果或頁面，一般是想向賣方或者收款方證明已經付款。

“我們調查后發現，不排除有少量用戶將自己的付款結果頁面在一些論壇上分享，從而造成某些搜索引擎可以抓取。”支付寶人士稱，大量被搜索引擎收錄的頁面在備注里都包含購買集郵品等信息，在相關論壇也發現有用戶會分享支付寶或網銀的付款結果頁面或鏈接，以向賣方證實自己已經付款。

這一說法在隨后幾日見諸各大媒體，報道紛紛“以正視聽”。支付寶微博也再次開誠布公：“這次有付款結果頁面被收錄可能是因為有極少量用戶主動將自己付款結果頁面分享到公共區域，所謂漏洞只是虛驚一場。安全和方便的平衡一直都是互聯網上的一道難題，我們會繼續努力做好這個平衡，做不好被罵那是活該。”

雖然如此，但看起來似乎都是用戶分享的錯，搜索引擎、支付寶就沒有責任嗎？據北京郵電大學網絡技術研究院教授馬嚴介紹：“搜索引擎只是根據協議和鏈接自動抓取和排序的，一個鏈接、一個鏈接的抓取，它不能夠理解什么該被訪問，什么是隱私就不該被訪問。當然，支付寶可以要求搜索引擎去過濾掉這些信息，他們最后也是這么做的。但主要問題還在于支付寶自身。”

支付寶難辭其咎？

Pingwest創始人、硅谷觀察家駱軼航對于這一事件進行了詳細的分析。他認為，雖然不排除是因為用戶分享，才造成爬蟲爬取，但是支付寶是否應該允許用戶將付款信息頁面分享至其他互聯網系統中去？是否應該允許非授權的訪問？是否應該在頁面提醒用戶泄漏這些信息的風險？是否應該設置會話或頁面的失效時間？這就是支付寶的管理不善。

馬嚴同樣認為，這些數據都是在服務器一側，管理者完全可以在系統上屏蔽或者嚴格管理，這一點顯然支付寶沒有做好。

另一方面就是支付寶的爬蟲策略。駱軼航及其團隊在shenghuo.alipay.com的網站中并沒有發現防爬取的文件，也就是說它是默認允許引擎收錄的。并且默認信息泄露并不是這幾天才有的。早在2012年5月27日，就有人發現了該漏洞。這一漏洞已存在了10個月，而官方一直是主動忽略。

既沒有更加嚴格的管理，自身系統上又有著漏洞，支付寶對于用戶隱私信息安全的敏感度和周全程度已經盡力。但是支付寶可是掌握著數以千萬用戶的錢和真實信息，如果工作不做得更扎實，很容易就“攤上大事”。

用戶應該更加小心

清華大學計算機系教授黃連生認為，網絡對于個人信息的管理，先天就有這兩不安全。一個是軟件設計的問題，一個是人員管理的問題。而“一個信息幾毛錢”這種經濟利益的趨使，也會讓網絡上的個人信息有一定的風險性。支付寶如果用密文的方式處理用戶信息，或者只有極少數人才能看到信息，就不會出現這種情況。

但如果把安全性提到這種高度，問題也隨之而來。成本就要提高，效率就要降低。所以，對于進行大規模但是小宗交易的支付寶來講，效率和成本會讓他們對安全有所忽視。

長遠來看，利用天然信息，例如指紋或者視網膜來加密，會讓網民的隱私更有安全性。但從目前來看，專家建議除了少用、不用公用電腦進行交易、設置長密碼外，定期更換密碼也是保護好自我隱私的重要手段。■