除了少用、不用公用電腦進行交易、設(shè)置長密碼外，

定期更換密碼也是保護好自我隱私的重要手段。

只需要在谷歌上輸入特定的關(guān)鍵詞，就能看到支付寶用戶的轉(zhuǎn)賬信息，無論是收付款賬戶還是金額用途等，一覽無余?！弊罱?，有關(guān)支付寶轉(zhuǎn)賬信息竟然只在網(wǎng)上就能輕松搜到？！網(wǎng)友感嘆，我們的隱私已經(jīng)在網(wǎng)絡(luò)下被人看了個精光。

2000多條轉(zhuǎn)賬信息被谷歌抓取

事情發(fā)生在3月27日晚間，網(wǎng)名為“海先生V”的用戶在微博上貼出了一張圖片。圖片是一張在谷歌上搜索到的大量支付寶轉(zhuǎn)賬信息，非常詳細，其中包括用戶名、金額、說明等。這一讓廣大網(wǎng)友毛骨悚然的圖片瞬時得到了大量轉(zhuǎn)發(fā)。

隨后，“海先生V”貼出圖片的真?zhèn)?，迅速得到了很多實名認證的IT人士、科技記者紛紛證實。只要在谷歌上輸入“site：shenghuo.alipay.com轉(zhuǎn)賬付款”等關(guān)鍵詞，的確會出現(xiàn)圖片中的情況。

“支付寶漏洞泄露用戶隱私”這一說法引起網(wǎng)民恐慌。更有人不知真假的“落井下石”稱：“經(jīng)過2個小時奮戰(zhàn)，2200萬支付寶數(shù)據(jù)順利搞到手，接下來分析一下，開始入庫EDM?！?/p>

事件發(fā)生之后，支付寶展開了調(diào)查。28日凌晨，支付寶已對相關(guān)頁面作了修改，抹去所有詳細信息，并升級了頁面保護等級，要查看轉(zhuǎn)賬詳情，必須交易方登錄本人支付寶賬戶才看得到。28日下午在谷歌上輸入特定的關(guān)鍵詞，仍能搜索到快照，但點擊后已無法看到詳細內(nèi)容，360、百度等其他一些搜索引擎則搜索不到。28日晚間，谷歌也已基本屏蔽。

支付寶公關(guān)部人士證實，在谷歌中搜索到的結(jié)果是2000多條，這一數(shù)字在支付寶全年幾十億筆的交易中占極小部分，并不是系統(tǒng)漏洞。如果是漏洞不會只抓取了這么少的信息。

那么這2000多條信息是如何泄露出來的呢？

只因用戶主動分享？

支付寶給出的官方解釋是：支付寶生活助手轉(zhuǎn)帳付款結(jié)果頁面一般用于支付雙方展示支付結(jié)果，不含用戶真實姓名、密碼等重要信息，支付寶對這一頁面鏈接加具了安全保護，正常情況下任何搜索引擎都無法抓取，初步調(diào)查后發(fā)現(xiàn)，不排除有極少量用戶將自己付款結(jié)果頁面分享到公共區(qū)域，造成某些搜索引擎可爬取。

至于為什么用戶會把付款結(jié)果放在論壇等一些公共區(qū)域分享，支付寶的解釋是，用戶分享付款結(jié)果或頁面，一般是想向賣方或者收款方證明已經(jīng)付款。

“我們調(diào)查后發(fā)現(xiàn)，不排除有少量用戶將自己的付款結(jié)果頁面在一些論壇上分享，從而造成某些搜索引擎可以抓取。”支付寶人士稱，大量被搜索引擎收錄的頁面在備注里都包含購買集郵品等信息，在相關(guān)論壇也發(fā)現(xiàn)有用戶會分享支付寶或網(wǎng)銀的付款結(jié)果頁面或鏈接，以向賣方證實自己已經(jīng)付款。

這一說法在隨后幾日見諸各大媒體，報道紛紛“以正視聽”。支付寶微博也再次開誠布公：“這次有付款結(jié)果頁面被收錄可能是因為有極少量用戶主動將自己付款結(jié)果頁面分享到公共區(qū)域，所謂漏洞只是虛驚一場。安全和方便的平衡一直都是互聯(lián)網(wǎng)上的一道難題，我們會繼續(xù)努力做好這個平衡，做不好被罵那是活該?！?/p>

雖然如此，但看起來似乎都是用戶分享的錯，搜索引擎、支付寶就沒有責任嗎？據(jù)北京郵電大學網(wǎng)絡(luò)技術(shù)研究院教授馬嚴介紹：“搜索引擎只是根據(jù)協(xié)議和鏈接自動抓取和排序的，一個鏈接、一個鏈接的抓取，它不能夠理解什么該被訪問，什么是隱私就不該被訪問。當然，支付寶可以要求搜索引擎去過濾掉這些信息，他們最后也是這么做的。但主要問題還在于支付寶自身?！?/p>

支付寶難辭其咎？

Pingwest創(chuàng)始人、硅谷觀察家駱軼航對于這一事件進行了詳細的分析。他認為，雖然不排除是因為用戶分享，才造成爬蟲爬取，但是支付寶是否應(yīng)該允許用戶將付款信息頁面分享至其他互聯(lián)網(wǎng)系統(tǒng)中去？是否應(yīng)該允許非授權(quán)的訪問？是否應(yīng)該在頁面提醒用戶泄漏這些信息的風險？是否應(yīng)該設(shè)置會話或頁面的失效時間？這就是支付寶的管理不善。

馬嚴同樣認為，這些數(shù)據(jù)都是在服務(wù)器一側(cè)，管理者完全可以在系統(tǒng)上屏蔽或者嚴格管理，這一點顯然支付寶沒有做好。

另一方面就是支付寶的爬蟲策略。駱軼航及其團隊在shenghuo.alipay.com的網(wǎng)站中并沒有發(fā)現(xiàn)防爬取的文件，也就是說它是默認允許引擎收錄的。并且默認信息泄露并不是這幾天才有的。早在2012年5月27日，就有人發(fā)現(xiàn)了該漏洞。這一漏洞已存在了10個月，而官方一直是主動忽略。

既沒有更加嚴格的管理，自身系統(tǒng)上又有著漏洞，支付寶對于用戶隱私信息安全的敏感度和周全程度已經(jīng)盡力。但是支付寶可是掌握著數(shù)以千萬用戶的錢和真實信息，如果工作不做得更扎實，很容易就“攤上大事”。

用戶應(yīng)該更加小心

清華大學計算機系教授黃連生認為，網(wǎng)絡(luò)對于個人信息的管理，先天就有這兩不安全。一個是軟件設(shè)計的問題，一個是人員管理的問題。而“一個信息幾毛錢”這種經(jīng)濟利益的趨使，也會讓網(wǎng)絡(luò)上的個人信息有一定的風險性。支付寶如果用密文的方式處理用戶信息，或者只有極少數(shù)人才能看到信息，就不會出現(xiàn)這種情況。

但如果把安全性提到這種高度，問題也隨之而來。成本就要提高，效率就要降低。所以，對于進行大規(guī)模但是小宗交易的支付寶來講，效率和成本會讓他們對安全有所忽視。

長遠來看，利用天然信息，例如指紋或者視網(wǎng)膜來加密，會讓網(wǎng)民的隱私更有安全性。但從目前來看，專家建議除了少用、不用公用電腦進行交易、設(shè)置長密碼外，定期更換密碼也是保護好自我隱私的重要手段?！?/p>