傲慢不承认自己错误推卸责任到用户的淘宝支付宝

接 淘宝支付宝转账付款漏洞BUG 泄露用户隐私信息原因过程

3月27日23:53 淘宝微博中说明泄密是因为用户分享付款结果页面在公共区域：

@支付宝:关于有网友提出部分支付宝生活助手转账付款结果页面被搜索引擎抓取一事的说明：

转发(632)| 收藏| 评论(191)3月27日23:53 来自分享按钮
e.weibo.com/1627897870/zpqO5xQmI

@支付宝:我们发现，在一些论坛和社区里，存在用户主动分享付款成功页面的链接的习惯，主要是为了提供给交易对方查看，如下面这个论坛：t.cn/zThmCF1，请看第10楼。这也是我们查看了被抓取的链接，大多数都是邮品交易。
2013-03-28 00:21 来自专业版微博
e.weibo.com/1627897870/zpqZjs4Ud

支付宝客户满意中心：初步调查后发现，不排除有极少数用户将自己付款结果页面分享到公共区域，造成某些搜素引擎可爬取。我们今晚已经主动将用户付款结果页面做部分信息隐藏，进一步帮助用户保护个人隐私信息。     (2013-03-28 00:04)

其实这个付款信息泄露的漏洞，2012.5.27就由@zeracker 爆出，但被支付宝忽略了，自称“涉及少量用户信息”，且他们当时就知道是因为用户分享了链接导致：

缺陷编号：     WooYun-2012-07585
漏洞标题：     支付宝交易信息泄漏等
相关厂商：     支付宝
漏洞作者：     zeracker
提交时间：     2012-05-27
公开时间：     2012-06-01
漏洞类型：     敏感信息泄露
危害等级：     中
自评Rank：     10
漏洞状态：     漏洞已经通知厂商但是厂商忽略漏洞
Tags标签：     用户敏感信息泄漏 敏感接口缺乏认证 Google_Hacking 敏感服务未禁止搜索引擎 支付行业敏感 平行权限
2012-05-27：    细节已通知厂商并且等待厂商处理中
2012-06-01：    厂商已经主动忽略漏洞，细节向公众公开
2012-06-02：感谢 @zeracker ，页面为用户在支付宝转账或者交易结束后的结果页面，为用户将链接复制在其他地方，导致被google收录。涉及少量用户信息，后续会加强用户信息的保护，支付宝一直关注并保护用户的隐私信息。
http://wooyun.org/bugs/wooyun-2010-07585

• zeracker：我记得去年提交后，跟支付宝的朋友沟通完，阿里方面说内部跟进，几天后，果断忽略之。天大的笑话。 //@海先生V:2012年的问题，到现在都没修补，很容易被用在组合攻击中的
• @海先生V:随便贴了图，还真的没想到掀起这么大的风波，官V都说话了，实际上这个问题@zeracker 早在2012年05月就已经提出过问题了，只是被你们忽略了，这个问题的原创作者是zeracker ，礼物也应该是他的，我只是打酱油路过的
  今天00:56来自专业版微博      转发(5)| 收藏| 评论(2)
  http://weibo.com/1683649154/zprdkuND0

支付宝认为付款说明备注不重要不敏感

支付宝官方称“支付宝生活助手转账付款结果页面一般用于支付双方展示支付结果，不含真实姓名、密码等重要信息，支付宝对这一页面链接加具了安全保护，正常情况下任何搜索引擎都无法抓取。”

也就是说，转账付款结果页面是支付宝“故意”方便交易双方不登录不验证权限就可可以打开链接查看的永久性网页，为了防止被其他人看到，安全措施就是URL比较复杂让别人找不到、猜不到。而且，支付宝认为付款结果页的信息不重要，没有真实姓名与密码，但真实上，在页面中，除了双方邮箱的支付宝账户名，在付款说明与备注中，付款人往往会标注出姓名、地址、电话、付款原由，支付宝当然知道有这些，但他们不会说，他们只想让骗用户不要担心。阿里巴巴的高级安全专家也是认为这些信息不敏感：

阿里_云舒（舒（易变），阿里巴巴集团高级安全专家。）：
支付宝生活助手转账付款页面不包含敏感信息，并且做了保护，正常情况下不会被搜索引擎抓取。不过有些用户晒单提交到了第三方论坛，导致付款结果被搜索引擎抓取。现在支付宝已经去掉了这些信息页面，并增加了身份认证。非常感谢各位通知我们。支付宝将会给@海先生V @网路游侠 @温泉先生 送上小礼物。
今天10:17来自新浪微博      转发(43)| 收藏| 评论(22)
http://weibo.com/1705822647/zpuTfc2VX

或许阿里巴巴的人认为只有密码才是需要保护的重要的敏感信息。但我认为，信息的隐私不隐私的判断在用户不在网站，用户觉得付款日期是隐私，那他就是隐私。

责任在谁

按支付宝的解释，他们公开付款结果页，是为了方便收款人查证，是好事。而导致隐私泄露的原因是因为付款人公开了网页地址。

我认为这是在推卸责任、转移问题。

1. 支付宝用户多，只要有链接就可不登录访问付款结果面，就一定会有用户公开分享链接，且不知道这样会泄露隐私。这是网站设计人员应该明白的，
2. 有更好的解决方法，比如查看需要收款付款人员才行，这也是支付宝修补漏洞后的结果。向所有人公开的付款信息页本就不必要，现在支付宝的改正更加证明了这种不必要。。
3. 我平常用支付宝，收到转账，旺旺会即时提醒，在支付宝交易记录中也能查到详情。这才是让收款人验证的合适的方法，而非弄一个公开的页面写明付款详情。

付款人通过一个包含付款详细的公开网页来让收款人验证付款，这本来就是一种错误的设计。那些公开网页中分享地址的人，他们会清楚的明白，这样这会导致别有用心的人利用它的的隐私信息吗？他们确实愿意与所有人分享他们的隐私信息吗？或许他们是出于无知这么做，他们也不想泄露隐私，但支付宝却认定他们是自愿与所有人分享隐私的。

支付宝的深表歉意

• @支付宝：关于生活助手付款结果页面的展示，我们已经连夜做了修改：将付款结果页面的详情全部去掉，增加一个消费记录详情的链接，该链接点击后需要用户登录才可以看到（如下图所示）。对于此前给一些用户带来的不安我们深表歉意，感谢大家的关注！
  转发(183)| 收藏| 评论(104)2013-03-28 09:40 来自专业版微博
  e.weibo.com/1627897870/zpuEkjyE0
• @支付宝：各种趁火打劫式的谣言满天飞，摘录一个分享给大家。在谷歌中搜到的结果只有2000多条，我们很想知道这个谣言的作者是如何能变成2200万的。
  转发(45)| 收藏| 评论(96)57分钟前 来自专业版微博
  e.weibo.com/1627897870/zpv1JuhzZ

支付宝在深表歉意、在修改网页，但就是不承认是它们的失误导致了泄露隐私，因为这样会很丢人，会有损支付宝的金字招牌。

支付宝的公关：把问题转变为安全与方便的平衡

1. 支付宝陈亮（支付宝公关总监陈亮    ）：
   我们连夜对此事进行了分析，认为不存在漏洞导致搜索引擎直接在支付宝站内抓取，，如果说是漏洞，就不可能只有2000多条。经过逐一排查发现……
   http://weibo.com/1649655312/zpvPdiNQC
2. @淘宝网: 安全和方便岂止是互联网的难题！你懂的，努力吧骚年~//@支付宝: 安全和方便的平衡一直都是互联网上的一道难题我们会继续努力做好这个平衡     (2013-03-28  15:29)

支付宝仍旧在坑爹，他们在2012.5就知道问题及原因，且忽略了这个漏洞。但他们现在自称“连夜分析”逐一排查”泄露的原因，我只好推断他们是在分析到底该把责任推到哪儿去。

现在淘宝系在把公关的重点转向让用户辩证“安全与方便的平衡”，安全与方便是有矛盾，可不会有人愚蠢到为了方便家里总不锁大门，这里本就不该有这种方便。

来自网友的真相

1. Min何：这个解释不好呀。有链接就能访问，证明要么就是业务架构没做好（即把客户隐私信息同普通的公开网页共同放在“权限控制层”之前的网页服务器层，业务逻辑没有划分，公开及隐私混淆），要么就是权限控制没做好（即客户隐私有自己的服务器，但部分隐私信息没有“权限控制”）。隐含还有其他隐私泄露风险。 (2013-03-28  12:04)
2. 蛋王：”付款说明 site:shenghuo.alipay.com“估算了下数量，解释的理由貌似可接受。但是这个页面居然让抓取，再退一步说不登陆居然也展示这么多信息，这个难道真的不用道歉吗？？
3. 深海默客：得了吧，别用这些糊弄人的话来搪塞用户了，你们看看你们的robots.txt能不出问题吗？这种页面即使不用robots禁止抓取，那么也应该设置访问权限啊，这种常识性错误都能犯，让人怎么信任一个支付企业？
4. 福伶：回复@支付宝陈亮:但是，未登陆的情况下，给个链接就看到用户的转账结果页面这不合理呀。 (2013-03-28  01:14)
5. @呆子不开口:看这个页面的上下文细节，根上的问题是没验证权限，其他人就不应该有权限看
6. 罗江威：好给力啊 Email和付款对象的信息全在，抓取下可以用来诈骗了，这个页面竟然没加登录验证   
7. 我是志一：这种比较敏感的东西最好是需要登录或者一次性URL更好点
8. @cy07: 也有一些时候是用户主动发布到一些论坛的，这种情况下貌似robots作用也有限，验证信息放在get中，有时候虽然方便，但太容易泄露了
9. iceyes汪利辉：回复@我是志一:这个是有一定的业务特性导致的，支付宝综合了用户实际需求保留这样的功能。事实上页面有2个参数可作为简单认证。想枚举是不可能的。只有知道地址的人才能访问。应用安全层面没有什么问题。但大批量用户使用不当导致信息泄露或账号丢失，反过来给支付宝带来业务层面的安全问题。
10. 辰光未然：这种解释也就骗骗不懂行的吧，既没加robot.txt，又没在敏感信息页面做权限验证，导致出这么严重的事故，居然怪晒单的用户？     (2013-03-28  11:23)
11. _阿木__：敏感信息，人名可能不是敏感信息；地址也可能不是敏感信息，qq可能也不是敏感信息，但是如果他们都组合到一起，那是不是敏感信息。     (2013-03-28  10:30)
12. 回复@_阿木__:问问支付宝的员工，如果有80%愿意把姓名、QQ、邮箱、地址、手机、为何付款的信息都告我，我就能认为这些不是敏感信息。如此安全专家，或许只有密码才敏感？再者，敏感不敏感不是网站说了算，是用户。

2013-03-28 18:40:35 XUEXX.COM IPO