余额宝漏洞 可绕过用户登录 5W奖励“白帽子”

近日，国内著名信息安全反馈平台“乌云”曝出了一个支付宝的登录漏洞。您先别慌，阿里巴巴官方称，这个漏洞当天已被修复，并未造成用户财产损失。

存余额宝的你，知道这事吗？这漏洞究竟是啥情况？到底对火爆的余额宝有何影响？

小编先简单介绍一下这个漏洞。如有细节错误，还请专业人士指正。（由于漏洞被修复，相关状态无法还原，个别图片使用知乎网友Evi1m0截图）

这个漏洞，操作起来很简单。任何人，打开谷歌，输入一个特定内容（就不列出来了，反正也修复了）

图中，这些搜出来的结果，任何人，点击进去后，都会自动进入他人淘宝账户页面，还可以直接跳到支付宝。任何人，只要遍历url中的user_num_id，就可以浏览任意账户。

最关键，这一切，根本不需要登录。

这么一说，你或许没啥直观感觉。那小编概括下该漏洞的几个特点：

1.你的身份信息全泄漏了

这是该漏洞最直接的威胁。当别人毫无阻碍地进入你的淘宝账户页面，后果就是你的姓名、手机号，快递地址等诸多隐私全都一览无遗。此外，你的余额宝余额，存储情况也都一清二楚。

2.不会直接影响你的支付宝账户

好吧，这大概是大家最关心的问题。这个漏洞并不能直接被利用来转移支付宝里的钱。人家支付宝毕竟不是吃素的。想把余额宝的账转出来，好歹是要转账密码的。这一步的验证，这个漏洞无法绕过。

3.影响不了的钱，坏事却能做很多

但是，如果你觉得因为这个漏洞无法直接威胁到财产安全，就认为这不是什么大事。

那你就太天真了。

作为一个成熟的系统，支付宝有许多接口，该漏洞相当于直接绕过了较复杂的登录接口。

打个比方，支付宝就是一个保险箱，打开他需要多层密码。现在这个漏洞让所有人可以绕过密码。直接打开了将近两扇门。虽然后面还有加密的门，但这已经相当程度简化了干坏事的成本。

而且，有了用户信息等隐私内容，“黑帽子”已然可以做很多坏事。最简单粗暴的方法就是“钓鱼”。根据这些信息，想“点对点”黑进你的账户并非难事。方法和原理就不详说了。

不过，幸好阿里巴巴及时修复了这个漏洞。而且还奖励了发现这个漏洞的“白帽子”5万元，并表示将继续拿出500万重奖那些帮助寻找漏洞的“白帽子”。

但是谁知道，未来还会不会有别的更厉害的漏洞呢？

要知道，去年3月27日，支付宝也曾曝出重大漏洞。同样是使用谷歌，就可以搜索出大量的支付宝交易记录，包括付款账户、收款账户、姓名、日期等。支付宝当夜修复了漏洞。

虽然漏洞情况不同，但信息安全问题，必须引起我们极大重视。

支付宝算得上很完善的支付体系，验证措施完备。但是，互联网世界从来就没有百分之百安全的，技术在发展，技术宅也越来越多。

而且，“树大招风”，余额宝如此大的收益，如此大的用户基数，被各种黑白帽子轮流夹攻，招架不住也不好说。这次被曝光的漏洞就是最好的例子。

所以，你如何看待这次漏洞？你还信任支付宝及各种互联网产品吗？你对网络信息安全问题又有何见解？我们一起讨论。

【短评】

首先，要为阿里巴巴解决问题的态度点个赞。

代码是人写的，漏洞几乎是无可避免的。纠结为何会出现漏洞没有意义。关键在于，如何弥补漏洞，减少损失。

在这点上，阿里巴巴做了榜样。他们对产品漏洞采取开放的态度，主动研究漏洞，甚至“悬赏”漏洞。这对完善产品，保障用户利益都有积极作用。互联网时代，任何一家公司都应该有这样的意识。

当然，信息安全同样需要用户自身提高安全意识。你的密码只是123456，就别怪人家没有保护好你的信息。尽可能使用复杂密码，尽可能多的加密，不要随意连陌生wifi…无论你相不相信马云，都请先做好自我防护。

除去技术问题，类似余额宝等涉及个人资产的互联网产品，仍需明确规定：丢了钱算谁的，谁该负责，怎么负责？运营由谁监督、安全由谁保障…解决这一系列问题，用户自然买得放心，企业也能规范运营。

信息安全，需要互联网公司进步的技术和理念，需要用户不断提高自我防范意识，需要更完善的法律监管，三者缺一不可，你说呢？

转载地址：http://www.codeceo.com/article/yu-e-bao-bug.html