论文部分内容阅读
除了少用、不用公用电脑进行交易、设置长密码外,
定期更换密码也是保护好自我隐私的重要手段。
只需要在谷歌上输入特定的关键词,就能看到支付宝用户的转账信息,无论是收付款账户还是金额用途等,一览无余。”最近,有关支付宝转账信息竟然只在网上就能轻松搜到?!网友感叹,我们的隐私已经在网络下被人看了个精光。
2000多条转账信息被谷歌抓取
事情发生在3月27日晚间,网名为“海先生V”的用户在微博上贴出了一张图片。图片是一张在谷歌上搜索到的大量支付宝转账信息,非常详细,其中包括用户名、金额、说明等。这一让广大网友毛骨悚然的图片瞬时得到了大量转发。
随后,“海先生V”贴出图片的真伪,迅速得到了很多实名认证的IT人士、科技记者纷纷证实。只要在谷歌上输入“site:shenghuo.alipay.com转账付款”等关键词,的确会出现图片中的情况。
“支付宝漏洞泄露用户隐私”这一说法引起网民恐慌。更有人不知真假的“落井下石”称:“经过2个小时奋战,2200万支付宝数据顺利搞到手,接下来分析一下,开始入库EDM。”
事件发生之后,支付宝展开了调查。28日凌晨,支付宝已对相关页面作了修改,抹去所有详细信息,并升级了页面保护等级,要查看转账详情,必须交易方登录本人支付宝账户才看得到。28日下午在谷歌上输入特定的关键词,仍能搜索到快照,但点击后已无法看到详细内容,360、百度等其他一些搜索引擎则搜索不到。28日晚间,谷歌也已基本屏蔽。
支付宝公关部人士证实,在谷歌中搜索到的结果是2000多条,这一数字在支付宝全年几十亿笔的交易中占极小部分,并不是系统漏洞。如果是漏洞不会只抓取了这么少的信息。
那么这2000多条信息是如何泄露出来的呢?
只因用户主动分享?
支付宝给出的官方解释是:支付宝生活助手转帐付款结果页面一般用于支付双方展示支付结果,不含用户真实姓名、密码等重要信息,支付宝对这一页面链接加具了安全保护,正常情况下任何搜索引擎都无法抓取,初步调查后发现,不排除有极少量用户将自己付款结果页面分享到公共区域,造成某些搜索引擎可爬取。
至于为什么用户会把付款结果放在论坛等一些公共区域分享,支付宝的解释是,用户分享付款结果或页面,一般是想向卖方或者收款方证明已经付款。
“我们调查后发现,不排除有少量用户将自己的付款结果页面在一些论坛上分享,从而造成某些搜索引擎可以抓取。”支付宝人士称,大量被搜索引擎收录的页面在备注里都包含购买集邮品等信息,在相关论坛也发现有用户会分享支付宝或网银的付款结果页面或链接,以向卖方证实自己已经付款。
这一说法在随后几日见诸各大媒体,报道纷纷“以正视听”。支付宝微博也再次开诚布公:“这次有付款结果页面被收录可能是因为有极少量用户主动将自己付款结果页面分享到公共区域,所谓漏洞只是虚惊一场。安全和方便的平衡一直都是互联网上的一道难题,我们会继续努力做好这个平衡,做不好被骂那是活该。”
虽然如此,但看起来似乎都是用户分享的错,搜索引擎、支付宝就没有责任吗?据北京邮电大学网络技术研究院教授马严介绍:“搜索引擎只是根据协议和链接自动抓取和排序的,一个链接、一个链接的抓取,它不能够理解什么该被访问,什么是隐私就不该被访问。当然,支付宝可以要求搜索引擎去过滤掉这些信息,他们最后也是这么做的。但主要问题还在于支付宝自身。”
支付宝难辞其咎?
Pingwest创始人、硅谷观察家骆轶航对于这一事件进行了详细的分析。他认为,虽然不排除是因为用户分享,才造成爬虫爬取,但是支付宝是否应该允许用户将付款信息页面分享至其他互联网系统中去?是否应该允许非授权的访问?是否应该在页面提醒用户泄漏这些信息的风险?是否应该设置会话或页面的失效时间?这就是支付宝的管理不善。
马严同样认为,这些数据都是在服务器一侧,管理者完全可以在系统上屏蔽或者严格管理,这一点显然支付宝没有做好。
另一方面就是支付宝的爬虫策略。骆轶航及其团队在shenghuo.alipay.com的网站中并没有发现防爬取的文件,也就是说它是默认允许引擎收录的。并且默认信息泄露并不是这几天才有的。早在2012年5月27日,就有人发现了该漏洞。这一漏洞已存在了10个月,而官方一直是主动忽略。
既没有更加严格的管理,自身系统上又有着漏洞,支付宝对于用户隐私信息安全的敏感度和周全程度已经尽力。但是支付宝可是掌握着数以千万用户的钱和真实信息,如果工作不做得更扎实,很容易就“摊上大事”。
用户应该更加小心
清华大学计算机系教授黄连生认为,网络对于个人信息的管理,先天就有这两不安全。一个是软件设计的问题,一个是人员管理的问题。而“一个信息几毛钱”这种经济利益的趋使,也会让网络上的个人信息有一定的风险性。支付宝如果用密文的方式处理用户信息,或者只有极少数人才能看到信息,就不会出现这种情况。
但如果把安全性提到这种高度,问题也随之而来。成本就要提高,效率就要降低。所以,对于进行大规模但是小宗交易的支付宝来讲,效率和成本会让他们对安全有所忽视。
长远来看,利用天然信息,例如指纹或者视网膜来加密,会让网民的隐私更有安全性。但从目前来看,专家建议除了少用、不用公用电脑进行交易、设置长密码外,定期更换密码也是保护好自我隐私的重要手段。■
定期更换密码也是保护好自我隐私的重要手段。
只需要在谷歌上输入特定的关键词,就能看到支付宝用户的转账信息,无论是收付款账户还是金额用途等,一览无余。”最近,有关支付宝转账信息竟然只在网上就能轻松搜到?!网友感叹,我们的隐私已经在网络下被人看了个精光。
2000多条转账信息被谷歌抓取
事情发生在3月27日晚间,网名为“海先生V”的用户在微博上贴出了一张图片。图片是一张在谷歌上搜索到的大量支付宝转账信息,非常详细,其中包括用户名、金额、说明等。这一让广大网友毛骨悚然的图片瞬时得到了大量转发。
随后,“海先生V”贴出图片的真伪,迅速得到了很多实名认证的IT人士、科技记者纷纷证实。只要在谷歌上输入“site:shenghuo.alipay.com转账付款”等关键词,的确会出现图片中的情况。
“支付宝漏洞泄露用户隐私”这一说法引起网民恐慌。更有人不知真假的“落井下石”称:“经过2个小时奋战,2200万支付宝数据顺利搞到手,接下来分析一下,开始入库EDM。”
事件发生之后,支付宝展开了调查。28日凌晨,支付宝已对相关页面作了修改,抹去所有详细信息,并升级了页面保护等级,要查看转账详情,必须交易方登录本人支付宝账户才看得到。28日下午在谷歌上输入特定的关键词,仍能搜索到快照,但点击后已无法看到详细内容,360、百度等其他一些搜索引擎则搜索不到。28日晚间,谷歌也已基本屏蔽。
支付宝公关部人士证实,在谷歌中搜索到的结果是2000多条,这一数字在支付宝全年几十亿笔的交易中占极小部分,并不是系统漏洞。如果是漏洞不会只抓取了这么少的信息。
那么这2000多条信息是如何泄露出来的呢?
只因用户主动分享?
支付宝给出的官方解释是:支付宝生活助手转帐付款结果页面一般用于支付双方展示支付结果,不含用户真实姓名、密码等重要信息,支付宝对这一页面链接加具了安全保护,正常情况下任何搜索引擎都无法抓取,初步调查后发现,不排除有极少量用户将自己付款结果页面分享到公共区域,造成某些搜索引擎可爬取。
至于为什么用户会把付款结果放在论坛等一些公共区域分享,支付宝的解释是,用户分享付款结果或页面,一般是想向卖方或者收款方证明已经付款。
“我们调查后发现,不排除有少量用户将自己的付款结果页面在一些论坛上分享,从而造成某些搜索引擎可以抓取。”支付宝人士称,大量被搜索引擎收录的页面在备注里都包含购买集邮品等信息,在相关论坛也发现有用户会分享支付宝或网银的付款结果页面或链接,以向卖方证实自己已经付款。
这一说法在随后几日见诸各大媒体,报道纷纷“以正视听”。支付宝微博也再次开诚布公:“这次有付款结果页面被收录可能是因为有极少量用户主动将自己付款结果页面分享到公共区域,所谓漏洞只是虚惊一场。安全和方便的平衡一直都是互联网上的一道难题,我们会继续努力做好这个平衡,做不好被骂那是活该。”
虽然如此,但看起来似乎都是用户分享的错,搜索引擎、支付宝就没有责任吗?据北京邮电大学网络技术研究院教授马严介绍:“搜索引擎只是根据协议和链接自动抓取和排序的,一个链接、一个链接的抓取,它不能够理解什么该被访问,什么是隐私就不该被访问。当然,支付宝可以要求搜索引擎去过滤掉这些信息,他们最后也是这么做的。但主要问题还在于支付宝自身。”
支付宝难辞其咎?
Pingwest创始人、硅谷观察家骆轶航对于这一事件进行了详细的分析。他认为,虽然不排除是因为用户分享,才造成爬虫爬取,但是支付宝是否应该允许用户将付款信息页面分享至其他互联网系统中去?是否应该允许非授权的访问?是否应该在页面提醒用户泄漏这些信息的风险?是否应该设置会话或页面的失效时间?这就是支付宝的管理不善。
马严同样认为,这些数据都是在服务器一侧,管理者完全可以在系统上屏蔽或者严格管理,这一点显然支付宝没有做好。
另一方面就是支付宝的爬虫策略。骆轶航及其团队在shenghuo.alipay.com的网站中并没有发现防爬取的文件,也就是说它是默认允许引擎收录的。并且默认信息泄露并不是这几天才有的。早在2012年5月27日,就有人发现了该漏洞。这一漏洞已存在了10个月,而官方一直是主动忽略。
既没有更加严格的管理,自身系统上又有着漏洞,支付宝对于用户隐私信息安全的敏感度和周全程度已经尽力。但是支付宝可是掌握着数以千万用户的钱和真实信息,如果工作不做得更扎实,很容易就“摊上大事”。
用户应该更加小心
清华大学计算机系教授黄连生认为,网络对于个人信息的管理,先天就有这两不安全。一个是软件设计的问题,一个是人员管理的问题。而“一个信息几毛钱”这种经济利益的趋使,也会让网络上的个人信息有一定的风险性。支付宝如果用密文的方式处理用户信息,或者只有极少数人才能看到信息,就不会出现这种情况。
但如果把安全性提到这种高度,问题也随之而来。成本就要提高,效率就要降低。所以,对于进行大规模但是小宗交易的支付宝来讲,效率和成本会让他们对安全有所忽视。
长远来看,利用天然信息,例如指纹或者视网膜来加密,会让网民的隐私更有安全性。但从目前来看,专家建议除了少用、不用公用电脑进行交易、设置长密码外,定期更换密码也是保护好自我隐私的重要手段。■