淘寶一日被曝兩安全漏洞 無需密碼能潛入賬戶

　　圖為烏雲平台發布漏洞報告的微博截屏。

　　“無需密碼可隨意登錄淘寶、支付寶賬號。”“淘寶認証缺陷導致可任意登錄淘寶、支付寶賬號。”昨天14時左右，來自國內互聯網安全問題發布平台烏雲漏洞報告平台的這樣兩條報告，讓許多人立馬停下手頭的事兒，查看自己的淘寶賬號是否安好。

　　昨日，淘寶網証實這是近期一個新業務規則引起的短時漏洞，並已在第一時間修復。支付寶公關部相關負責人則表示，經過核查，漏洞隻涉及淘寶網，和支付寶無關。然而，漏洞因何而起，仍是一片疑雲。

　　淘寶有漏洞 與支付寶無關

　　“你們誰敢告訴我你們的支付寶或者淘寶賬號？隻要賬號，我就能進入到你們的賬戶！”昨天14時10分，名為“互聯網的那點事”的微博大號發布的這麼一條信息在網絡上炸開了鍋。

　　這條看似有些噱頭的消息卻被迅速証實。“叫板”信息剛剛發布1分鐘之后，“互聯網的那點事”在微博上公布了網友“forwhere”的淘寶賬戶截圖。圖片上，“forwhere”在2月14日購買了6包貓砂和1把貓砂鏟、1月6日使用支付寶購買聯通充值卡等購物信息，一一在列。

　　這場風波源自20分鐘前國內一家安全漏洞報告平台。

　　13時49分，烏雲發出第一條漏洞報告。報告提交者“酸奶”表示，黑客通過搜索引擎，不用賬號、密碼，可直接獲取用戶的隱私，內容包括賬戶余額、交易記錄、收貨地址、姓名、手機號碼等敏感信息。雖未太多披露漏洞細節，但提交者表示，漏洞源於“賬戶體系控制不嚴”。

　　就在不少網友還對這條消息將信將疑時，14時20分，烏雲發出第二條針對淘寶、支付寶的漏洞報告，“淘寶認証缺陷導致可登錄任意淘寶、支付寶賬戶”。報告提交者“滄浪浪拔出保健”表示，漏洞源於設計缺陷或邏輯錯誤，同時將這一危害等級設置為“高”。

　　“我余額寶裡可放著10來萬塊錢呢，黑客該不會直接撬走吧？”在網上瀏覽到這條消息，盡管在第一時間裡確定了自己的支付寶賬戶並無變化，在東單附近上班的李先生仍是有些不知所措。和他一樣，不少網友都在擔心，存有大額資金的余額寶賬戶是否變得不再安全。

　　17時，烏雲爆出漏洞后的兩個多小時后，淘寶網在官方微博上做出回應。

　　“今天下午，我們接到反饋稱有用戶可隨意查詢淘寶賬戶，經過我們的排查，確認這是近期一個新業務規則引起的短時漏洞。”淘寶網表示，已在第一時間完成修復，同時確認沒有用戶因此漏洞引發資金風險和損失。此外，淘寶將給予此次漏洞發現者5萬元現金獎勵，而今年還將拿出500萬元獎勵漏洞發現者。

　　支付寶公關部相關負責人則告訴記者，他們經過核查，“漏洞隻涉及淘寶網，和支付寶無關”。

　　淘寶漏洞究竟是咋出現的？

　　由於烏雲對於兩個漏洞隻有寥寥幾句描述，而淘寶方面也只是簡單回應“已修復漏洞”。直到這場風波平靜，不少用戶仍是摸不著頭腦，“漏洞究竟是咋出現的？”

　　依照烏雲發布平台的規則，出於安全考慮，漏洞發現者在最初發現漏洞時並不會公開漏洞細節。隻有在提交廠商后，等待廠商解決漏洞后，發布者才會擇期公開漏洞細節。昨天21時，記者再度登錄烏雲，這兩條漏洞的發布頁面上，披露狀態都已被更新為“廠商已經確認，細節僅向廠商公開”。

　　就此，金山反病毒工程師李鐵軍解釋說，此次烏雲爆出的兩條漏洞主要都涉及用戶賬戶隱私，從危害等級來說都屬於較高級別。

　　“其中一條漏洞講的是，瀏覽器可以抓取到用戶的交易信息。”李鐵軍解釋說，依照正常流程，消費者在網上購物時，淘寶網對用戶的交易信息都是嚴格保密的，瀏覽器無法抓取到。可能是由於淘寶某項業務在處理過程中出現漏洞，使得“黑客”能夠通過操作瀏覽器抓取到購物記錄。而“任意登錄賬號”漏洞，則可能源於淘寶服務器在處理一些關鍵信息時出現問題，使得“黑客”可以通過其他路徑，繞過登錄密碼這道門檻。

　　“總體來看，漏洞更多對用戶的賬戶隱私安全造成威脅。‘黑客’利用這兩個漏洞通過網頁可以瀏覽到賬戶信息，但並沒有操作賬戶的權利。”李鐵軍表示，盡管漏洞爆出兩個多小時就已被淘寶官方修復，消費者仍得警惕漏洞“后遺症”。

　　近期有發生交易行為，同時買的東西還沒有到貨的用戶要格外警惕。“一旦不法分子拿到交易記錄、偽裝成賣家，借此發生退換貨服務，就可能發生詐騙案件。”李鐵軍提醒，用戶如果接到類似的退換貨提醒，一定通過淘寶平台核實對方身份。

　　“從一定程度上講，安全漏洞是不可避免的。”通信世界網劉啟誠表示，國內包括阿裡巴巴、騰訊等互聯網公司都已經建立了一套較為完善的風險防控體系，但如何減少漏洞、如何在第一時間封鎖漏洞，仍是各家公司需要攻克的難題。不過，在漏洞發生后，盡快提醒用戶風險所在、如何規避漏洞，這是互聯網公司最該做的，一刻也不能耽誤。

　　新聞內存

　　淘寶、支付寶近期

　　頻頻被爆出漏洞

　　■2013年10月 阿裡旗下社交軟件“來往”被爆出漏洞，“黑客”通過來往可破解用戶淘寶賬號。

　　■2013年12月 支付寶被爆出手勢密碼漏洞，連續隨意輸錯五次支付寶手勢密碼，可進入手機的支付寶賬戶。

　　■2014年1月 支付寶被爆出身份認証漏洞，用戶身份証信息被盜用后，他人可利用身份信息注冊實名支付寶賬戶。