3月27日晚,新浪微博的 @海先生V 贴出了一张图,是在谷歌输入特定关键词搜索支付宝付款结果的页面。全部都是付款结果的详细结果…… @网路游侠 转发了该条微博之后 @iceyes汪利辉 也确认的确存在这个问题:
我们看到,全部都是支付宝付款的结果页面……点击之后:
再来一个:
付款账户、收款账户、付款金额、付款说明、付款时间、状态……一清二楚。
游侠注意到,链接均为如下格式:
https://shenghuo.alipay.com/send/result.htm?outBizNo=2012122900001000320025836522&sign=9020f6053582c3479d1c709aa698c72e
https://shenghuo.alipay.com/send/result.htm?outBizNo=2012091900001000700002143585&sign=f05098dcaaa803f493bd6fb270ec879a
可以看到:outBizNo、sign未经处理,直接暴露给了搜索引擎。虽然是走了加密的https,但是……
游侠安全网已经将此问题在新浪微博 @ 了支付宝官方账户。
更新:2013年3月27日 22:25:50
就此问题 @iceyes汪利辉 又更新了自己的微博,如下:
@cy07: 也有一些时候是用户主动发布到一些论坛的,这种情况下貌似robots作用也有限,验证信息放在get中,有时候虽然方便,但太容易泄露了
乌云的这个页面 http://wooyun.org/bugs/wooyun-2010-07585 很早就爆出了这个问题,支付宝对此的回复是:
2012-06-02:感谢 @zeracker ,页面为用户在支付宝转账或者交易结束后的结果页面,为用户将链接复制在其他地方,导致被google收录。涉及少量用户信息,后续会加强用户信息的保护,支付宝一直关注并保护用户的隐私信息。
更新:2013年3月28日 10:37:02
早上发现阿里安全的云舒发了个微博,提到这个事情已经解决(赞一个,非常快的响应速度)
游侠安全网对此进行了验证,继续打开此前的URL,发现已经无法查看转账的详细信息:
点“查看详情”之后,提示登录支付宝,因为我不是该笔交易的发起人,亦不是收款人,因此看不到任何详细信息:
到此,这个问题已经彻底解决了。
标签: 支付宝