圖片:中國網絡支付平台「支付寶」網頁頁面。(官方網站截圖)
圖片:谷歌顯示的搜索結果中,出現帶有用戶信息的搜索簡介。(網頁截圖)
中國網絡支付平台「支付寶」的用戶個人信息可被隨意搜到,支付寶予以否認。中國網絡金融安全性出漏洞。
中國最大的網絡支付平台支付寶,周三晚間到周四凌晨之間被網民發現可以在谷歌和360等搜尋引擎中搜索出大量的用戶轉帳的個人信息。
支付寶交易信息可被搜索出
本台記者周四使用限定範圍進行搜索(site:shenghuo.alipay.com)在谷歌顯示的搜索結果中前面兩頁只顯示該頁面的入口等的信息。從第三頁開始就不斷出現帶有用戶信息的搜索簡介,其中可以看到用戶的名字、手機號碼和郵箱,甚至還有交易多少錢,用處是什麼。本台記者再點擊這些信息,均提示錯誤頁面,但是在連結處末端的數字都有改變,因此也說明每一個連接實際上是每一筆交易號,只有通過交易信息中的當事人帳號登入才可正常訪問頁面。
本台記者周四根據搜索到的匯款人名字及電話致電給當事人查問:
記者:支付寶現在會把個人交易的信息泄密了,我其實是在網上看到了你的電話和你的交易的。
當事人:他們把我的電話泄密了?現在的社會就是這樣子,沒辦法。
客戶服務熱線回應牽強
周三深夜,支付寶通過微博發表聲明表示,支付頁面中沒有含有用戶的真實信息,並強調支付交易信息頁面是不可被搜尋引擎捕獲到的,又稱有用戶將轉帳信息公布在網絡中,遭到網絡爬蟲的捕獲。
本台記者周四致電支付寶客戶服務熱線查詢:
記者:我在網上看到很多人的帳戶,郵箱,交易額,電話是多少,都被搜索出來了,這不是個人用戶信息泄露了嗎?
工作人員:這樣的信息肯定不是通過支付寶這邊泄露出去的,因為我們這邊相互打款時的個人信息都是隱去的。
記者:你們是不是搜尋引擎屏蔽沒有做好,因為這次是通過搜尋引擎都可以搜索得出來。
工作人員:您在谷歌搜索出來的東西是否是屬於一個真實的情況還需要確認,但我可以和您肯定的保證這些是肯定不會由支付寶通過搜尋引擎泄露出去的。具體是為什么會顯示出他們之間互相交易的情況有可能是用戶通過其他的操作導致的。
然而支付寶的回應並不符合外界所看到的情況,本台記者也使用相同的方法針對財付通進行搜索時則沒有出現類似用戶隱私被泄露情況。
搜尋引擎使用「網絡爬蟲」技術在網際網路中收集數據,使用戶在搜索過程中找到最需要的信息。如果涉及到隱私,相關服務商需要將網站做信息加密處理避免被網絡爬蟲掃描到,在中國以前也曾發生過用戶郵箱中的內容甚至不對外開放的日記等博客信息都被搜索出。
網絡技術專家東小興告訴本台記者:
「通常我們相信他們是無意泄露的。因為他們對於屏蔽搜尋引擎和其他一系列的東西這方面做得可能並不是很完善。因為網絡爬蟲在網站信息界面進行搜尋的時候,它們網站隨機生成的屬於編號之類的玩意,一般情況下是不會被索引到的。但是由於可能是某些人把這個連結分享出去了,比如說丟在了新浪微博或者其他的一些社交網絡,然後搜尋引擎查到了這個社交網站並且把它索引下來了,之後這就會擴散到別的帳號上,這就屬於一種比較嚴重的信息泄露了。如果網站管理員不希望他的敏感信息泄露的話,會用robot(機器人)軟體限制搜尋引擎對他網站內容的索引,到頭來說還是他的網站維護上有一些缺失。」
以上是自由亞洲電台駐香港特約記者心語的採訪報導。
