Sino Blog

今天清晨收听中央人民广播电台中国之声新闻和报纸摘要节目的时候一则“支付宝被指信息泄露”消息引起了我的兴趣，上网Google了一下，弄清楚了事情的来龙去脉，原来一家名为不垮红客(yx.bukua.com)的中文网站将支付宝用户资料公布上网，输入支付宝用户的邮箱地址即可查询用户注册姓名、交易情况等信息。

蓝兔出于好奇，打开http://yx.bukua.com 这个网站标题为“不垮注册邮箱真实姓名查询”页面，输入查询注册姓名的邮箱地址之后回车，弹出一个对话框，如图：

也就是说，不垮红客关闭了网站数据查询功能。

以下援引网易科技报道：

网易科技讯 9月27日消息，在支付宝宣布用户超过1亿大关的当口，现在可能陷入泄露用户隐私漩涡。今天早上有网友在网易科技论坛爆料，一家名叫“不垮红客”的网站已经将支付宝的用户资料公布在网上，只需输入支付宝用户注册姓名的邮箱地址就可以查到其真实姓名、注册日期和具体的交易笔数。

有业界技术人士分析，此次资料泄露很可能是支付宝的“向陌生卖家付款”功能所致，当用户通过支付宝在向陌生卖家付款时，填入对方的账户邮箱，以及付款信息之后，就可以查看到对方的资料。而“红客”很可能是利用了这个漏洞。

据了解，第三方支付平台支付宝日前宣布，截至2008年8月底，支付宝的注册用户已突破1亿大关，日交易量达到4.5亿人民币，日交易笔数达到200万笔。这样支付宝成为国内最大的第三方支付平台，专家担心用户数量庞大的支付宝一旦用户资料被泄露，后果不堪设想。

今年2月份，阿里巴巴旗下的雅虎中国邮箱也发生泄露用户资料的事件。用户使用搜狗搜索引擎时，无意中发现其雅虎邮箱的个人注册信息可在搜狗的搜索结果中找到。搜狗抓取雅虎邮箱的个人信息包括YahooID、雅虎邮箱、出生日期、密保问题和答案。根据搜索结果的信息，只需知道被泄露者所填邮编，就可以轻易盗取该用户的邮箱。

互联网各项应用在中国越发普及，用户隐私目前成为大家关注的焦点。在今年南京举办的互联网大会上，多个官员谈到互联网应用要兼顾用户隐私保护问题。（古丰）

针对支付宝被指泄漏用户数据一事，支付宝刚刚发出官方回应，称这类信息是支付宝为避免用户错误付款等问题而采取的验证措施，这属于支付宝网站上公开的信息，所谓“信息泄露”问题完全不存在。

以下为支付宝官方声明全文：

支付宝：公开信息，何言泄露

今日，有报道称在某第三方网站输入邮箱地址，可以显示支付宝用户账号及注册姓名，并称此行为造成了支付宝用户的“信息泄露”。事实上，这类信息是支付宝在即时到帐交易中，为防止用户输入错误邮箱地址，错误付款，保障用户资金安全而采取的验证措施，用户本身在交易过程中就可以通过此功能公开了解交易方的相关信息，该网站所公布的信息本身也是属于支付宝网站上公开的信息，所谓“信息泄露”是完全不存在的事。

支付宝方面认为：

公开此类信息将增强用户网上交易信心。用户在“向陌生卖家”付款中即使在只知道付款方账号的情况下，也可以通过“查看信用”功能查看付款方的注册姓名、是否经过认证等信息，确保收款方的真实可靠;

保障用户的交易安全。此功能可以确保真实身份与邮件地址的匹配性，防止用户不慎输错账号，导致失误付款;

这些信息的披露，并没有形成对用户交易的风险。支付宝公司对于用户的身份证号码、家庭住址、联系电话等核心用户信息一直采取严格保密的措施。事实上，从2003年创建以来，过亿用户都在支付宝平台上都感受到了“信任、安全、便捷”的交易体验。

由于该第三方网站已经无法打开，支付宝公司正在调查该第三方网站的来源。

支付宝(中国)网络技术有限公司

2008年9月27日

作者：蓝兔
原文链接：支付宝(alipay)信息泄露风波
Sino Blog 版权所有，转载时必须以链接形式注明作者和原始出处及本声明。

互联网络 支付宝