余额宝曝漏洞,丢了钱算谁的? 你在用余额宝吗?你觉得它安全吗?
近日,国内著名信息安全反馈平台“乌云”曝出了1个支付宝的登录漏洞。
您先别慌,阿里巴巴官方称,这个漏洞当天已被修复,并未造成用户财产损失。
存余额宝的你,知道这事吗?这漏洞究竟是啥情况?到底对火爆的余额宝有何影响?
小编先简单介绍一下这个漏洞。如有细节错误,还请专业人士指正。(由于漏洞被修复,相关状态无法还原,个别图片应用知乎网友Evi1m0截图)
这个漏洞,操作起来很简单。任何人,打开谷歌,输入1个特定里面的全部内容(就不列出来了,反正也修复了)
图中,这些搜出来的结果,任何人,点击进去后,都会自动进入他人淘宝账户页面,还能够快速的按原来的方式跳到支付宝。任何人,只要遍历url中的user_num_id,就能够浏览任意账户。
最关键,这一切,根本不须要登录。
这么一说,你或许没啥直观感觉。那小编概括下该漏洞的几个特点:
1.你的身份信息全泄漏了
这是该漏洞最快速的按原来的方式的威胁。当别人毫无阻碍地进入你的淘宝账户页面,后果就是你的姓名、手机号,快递地址等诸多隐私全都一览无遗。此外,你的余额宝余额,存储情况也都一清二楚。
2.不会快速的按原来的方式影响你的支付宝账户
好吧,这大概是大家最关怀的疑问和未知办法。这个漏洞并不能快速的按原来的方式被利用来转移支付宝里的钱。人家支付宝毕竟不是吃素的。想把余额宝的账转出来,好歹是要转账密码的。这一步的验证,这个漏洞无法绕过。
3.影响不了的钱,坏事却能做很多
但是,如果你觉得因为这个漏洞无法快速的按原来的方式威胁到财产安全,就认为这不是什么大事。
那你就太天真了。
作为1个成熟的体系,支付宝有许多接口,该漏洞相当于快速的按原来的方式绕过了较复杂的登录接口。
打个比方,支付宝就是1个保险箱,打开他须要多层密码。目前这个漏洞让所有人能够绕过密码。快速的按原来的方式打开了将近两扇门。虽然后面还有加密的门,但这已经相当程度简化了干坏事的成本。
而且,有了用户信息等隐私里面的全部内容,“黑帽子”已然能够做很多坏事。最简单粗暴的方法就是“钓鱼”。根据这些信息,想“点对点”黑进你的账户并非难事。方法和原理就不详说了。
不过,幸好阿里巴巴及时修复了这个漏洞。而且还奖励了发现这个漏洞的“白帽子”5万元,并表示将继续拿出500万重奖那些支持寻找漏洞的“白帽子”。
但是谁知道,将来还会不会有别的更厉害的漏洞呢?
要知道,上一年3月27日,支付宝也曾曝出重大漏洞。同样是应用谷歌,就能够搜索出更多的支付宝交易记录,包括付款账户、收款账户、姓名、日期等。支付宝当夜修复了漏洞。
虽然漏洞情况不同,但信息安全疑问和未知办法,一定导致我们极大重视。
支付宝算得上很优良的的支付体系,验证措施完备。但是,互联网世界从来就没有百分之百安全的,科技在发展,科技宅也越来越多。
而且,“树大招风”,余额宝如此大的收益,如此大的用户基数,被各种黑白帽子轮流夹攻,招架不住也不好说。这次被曝光的漏洞就是最好的例子。
所以,你如何看待这次漏洞?你还信任支付宝及各种互联网产品吗?你对网络信息安全疑问和未知办法又有何见解?我们一起讨论。
【短评】
首先,要为阿里巴巴解决疑问和未知办法的态度点个赞。
代码是人写的,漏洞几乎是无可避免的。纠结为何会显露出来漏洞没有意义。关键在于,如何弥补漏洞,减少损失。
在这点上,阿里巴巴做了榜样。他们对产品漏洞采取开放的态度,主动研究漏洞,甚至“悬赏”漏洞。这对优良的产品,保障用户利益都有积极作用。互联网时代,任何一家公司都应该有这样的意识。
当然,信息安全同样须要用户自身提高安全意识。你的密码只是123456,就别怪人家没有保护好你的信息。尽可能应用复杂密码,尽可能多的加密,不要随意连陌生wifi…无论你相不相信马云,都请先做好自我防护。
除去科技疑问和未知办法,类似余额宝等涉及个人资产的互联网产品,仍需明确规定:丢了钱算谁的,谁该肩付的责任,怎么肩付的责任?运营由谁监督、安全由谁保障…解决这一系列疑问和未知办法,用户自然买得放心,企业也能规范运营。
信息安全,须要互联网公司进步的科技和理念,须要用户不断提高自我防范意识,须要更优良的的法律监管,三者缺一不可,你说呢?
