支付宝曝重大安全漏洞，你中招了吗 | 望月的博客

支付宝曝重大安全漏洞，你中招了吗

昨晚，和让人昏昏欲睡的锤子os发布会相比，另一条消息显得尤为劲爆，因为他和我们每个人的生活几乎都息息相关，那就是据@互联网的一些事在微博爆料：从google检索结果的第三页开始，支付宝用户的各种交易信息被泄露，这个消息太劲爆了，所有支付宝账号信息一览无遗，不仅如此，还可以查某人的支付宝交易记录，这是继各大网站明文存储密码之后的又一大事件。

支付信息泄露

在google搜索site:shenghuo.alipay.com,翻到第三四页，就会发现大量的个人信息，邮件、地址、姓名、电话、手机号码、买了什么，基本上都可以一览无遗，截止我发布这篇文章为止，在google上依然可以搜索到这类信息：

&

赶快去翻翻上面有没有你的信息吧，值得一提的是，其他搜索引擎诸如百度、360等并没有类似信息，更加恐怖的是，连支付的一些细节都可以搜索到：

&

当然，几家欢喜几家愁，一些搜集此类用户信息的个人和公司兴奋了：

&

支付宝的回应

应该说，支付宝方面的回应还是比较及时的，关于生活助手付款结果页面的展示，已经连夜做了修改：将付款结果页面的详情全部去掉，增加一个消费记录详情的链接，该链接点击后需要用户登录才可以看到（如下图所示）。

&

并且第一时间在微博发布了申明：

&

只是，这样的回应多少有些苍白，并且把责任推给了用户和搜索引擎。

并非第一次泄密

事实上，这并非支付宝第一次发生泄密事件了，早在2011年底csdn、天涯社区用户数据泄露时，安全问题反馈平台乌云就曝出上千万支付宝用户信息已经外泄，对此支付宝回应称，只有账号外泄，对用户资金安全没有威胁。

但是，“从支付宝拿不到密码，不代表用户的支付宝账号就毫无风险。”“有心者”与已泄露的数据库对比后不见得就找不到密码。同时，因为支付宝的账户多为电子邮箱，如果用户的电子邮箱和密码已经泄密，那么支付宝账号也可能不再安全。

我们应该怎么办

我们改变不了这个互联网环境，也不得不使用这些工具，那么，也可以采取一些力所能及的小措施确保安全：

1.支付密码和登陆密码要截然不同，并且不要和任何现有邮箱等密码重合；

2.完善实名认证、密码防护等安全措施，因为支付宝规定只要会员账户进行了实名认证，并绑定手机或者使用了数字证书等安全产品，如因支付宝账号被盗造成账户余额损失，都将由支付宝给予补偿。

3.尽量在支付宝里不要存放太多余额，够平时小额支付就行了，大额支付还是采用信用卡等方式进行支付。

4.尽量不要选择记录密码和自动登录等功能，尤其是在手机等移动端上，否则，一旦手机被盗，后果不堪设想。

你怎么看呢，亲？