“我当时看到网上的那些截图,我也很害怕,怕自己的个人信息都被‘露’在网络上。”在3月底,网购达人们无疑惊魂了一把。网上流传谷歌可以搜索到个人转账结果的消息,不过最后又被证明是一场以讹传讹的乌龙事件。
昨天,阿里小微金融服务集团主动邀请媒体一同分析网银木马、2次放号等网络安全风波,经过技术专家的复盘,不经意的接受他人文件或是分享个人专属页面都可能将自己卷入不可预料的风险。
在3月底,突然有网友爆料,在搜索引擎中就能看到一些转账成功页面。“无需身份验证,可随意查看转账详情!”这个消息瞬间被大量转发。那么这些是谁的信息?谷歌为什么会抓到自己的页面?
很快有专家出面分析此事,认为转账结果页面属于孤岛信息,他人无法查阅,也无法通过网站内部链接被索引到,因此,只存在用户自动将这些孤岛页面放到了大庭广众之下,从而被索引的可能性。
集邮网站上
网友分享了付款页面
“通常情况下,这些页面都进行了安全保护,任何搜素引擎都无法抓取。”支付宝安全专家子玄昨天对于类似事件进行了复盘推演,他解释说,转账结果是一个给用户的页面,该页面地址的编号是随机产生的,外人几乎不知道是否存在该页面,因此除非将该地址外放到公共区域,不然搜索引擎就抓不到,而有的搜索引擎是根据分享在并没有任何屏蔽措施的论坛上抓到链接的。
据支付宝方面的查证,也确定了这200多条交易结果出现在某邮票交易论坛,“买方付款之后就在该商品帖下贴出交易结果页面作为证据,以公示自己已抢到。这种做法在某些小众的社区几乎是约定俗成的。我们没想到用户会拿交易页面做这个用途,但这样分享是存在风险的。”支付宝安全专家表示。
“交易结果页面信息泄露事件”只是一些用户将结果分享导致,不分享则不会被搜索到,由此被证明是个乌龙事件。
很多用户经常更换手机号,但却往往忘记解除原先手机号绑定的网络服务。3月份,一位福州用户弃用手机号后没有及时取消手机号和支付宝之间的绑定,几个月后,运营商将该手机号重新发放给他人使用,新户主发现自己的手机号绑定了一个支付宝账号,遂利用手机号进行了盗用。
二次放号导致盗用
支付宝先行赔付
阿里小微金融服务集团共享平台事业群总裁井贤栋介绍,过去一年,支付宝因为运营商二次放号带来的盗用问题不到100起,占支付宝整个快捷支付笔数的比例不到2500万分之一。但这偶然事件,往往大幅降低用户对于网上支付的安全感。
作为用户利益的保障机制之一,支付宝会对于类似资损进行先行赔付。同时他也建议用户:“手机号、邮箱号都是支付宝账户的一部分,一定要像保管钥匙一样管好。”(记者 陈聿敏)
(钱江晚报 陈聿敏)