支付寶轉賬信息泄漏事件

2013年3月27日晚間，有網友在微博上爆出，使用谷歌搜尋輸入“site：shenghuo.alipay轉賬付款”即可看到各種轉賬信息，包括付款賬戶、收款賬戶、姓名、日期等。支付寶官方微博也在2013年3月28日凌晨對此事進行了回應，稱初步調查後發現，不排除極少量用戶將自己付款結果頁面分享到公共區域，造成某些搜尋引擎可抓取，並提供了一個論壇的案例。

搜尋截屏

支付寶方面表示，為了避免用戶的個別分享導致自己的信息被搜尋引擎抓取，支付寶決定提升生活助手付款結果頁面的保護等級，新的安全機制要求交易雙方需要登錄後才可以查看付款結果頁面，任何其他人都無法查看。這一修改已經於28日凌晨4點發布上線。所以，現在即使有用戶繼續分享付款結果頁面的連結，他人點擊後也無法看到任何跟該用戶支付寶賬號相關的信息。

2013年3月28日，微博認證為支付寶公關總監的陳亮中午在其微博上發布了題為“技不如人被罵是活該，但我想把事情講清楚”的長微博，就支付寶信息漏洞的問題予以官方回應。

支付寶方面表示，相關連結都進行了安全保護，正常情況下任何搜素引擎都無法抓取。谷歌抓取的連結一共是2000多條，在整個支付寶全年幾十億筆的交易中只是極少部分，如果是漏洞就不可能只有2000多條。調查發現，大量被搜尋引擎收錄的頁面在備註里都包含購買集郵品等信息，在相關論壇內也發現有很多用戶會分享支付寶或網銀的付款結果頁面或者連結，以向賣方證實自己已經付款。因此初步判斷，這些分享可能是相關頁面被搜尋引擎抓取的原因。

支付寶公關總監陳亮也在微博上表示，安全和方便的平衡一直都是網際網路上的一道難題，支付寶會繼續努力做好這個平衡，“做不好被罵那是活該”。

支付寶僅提到該頁面沒有用戶賬戶名和密碼，但認為用戶的賬戶信箱和手機號，以及一次完整的交易記錄詳情不是重要信息，這是經不住推敲的。一個黑客掌握了這些信息，已經足以運用到社會工程的攻擊手段里去了。

另外，支付寶迅速修改了頁面，將信箱、手機號及付款時間等信息隱去，這和其“重要信息”的概念範疇說法也是矛盾的。

此外，正如該聲明所說：信息的泄露，確實不排除有用戶將自己的付款結果頁面分享到其他公共區域，才造成了爬蟲的扒取。

其實支付寶用戶交易信息泄露的問題，並不是近日才有的，早在2012年5月27日，就有人將該漏洞提交到了烏雲（漏洞報告平台）上，我們看到該漏洞被標註的類型為“敏感信息泄露”，危害等級為“中”，烏雲當天將細節通知了廠商，但6月1日更新的狀態為“廠商已經主動忽略漏洞，細節向公眾公開”。