近日,关于支付宝用户交易信息被泄露的新闻再度震惊业界,作为业内安全标准最高的支付网站,支付宝上用户交易是如何被泄露的?本人将稍作技术分析,欢迎专家指正。
对于此次泄露,支付宝官方给出解释是:“极少量用户将自己的付款结果分享到了公共区域,造成某些搜索引擎可抓取。”(支付宝官方微博声明:http://e.weibo.com/1627897870/zpqO5xQmI )
我们先不讨论这份解释是否足够“科学”,先来看看这些泄密的几个基本事实:
1、泄密信息总量。Google约2000条,直到3月29日才删除了相关内容。其他搜索引擎上,百度、搜搜、搜狗一直检索不到。而360曾经有120余条可检索,但今天(3月28日)已经不能再查到,可能是被紧急删除或提前处理。(site:shenghuo.alipay.com 转账付款)
2、泄密信息时间。都是2012年底开始泄露,最新一条显示到了2013年3月25日。
3、泄密信息内容。包括付款账户、收款账户、付款金额、付款说明、付款时间、付款状态、收货地址、手机号等用户隐私信息都一目了然,如果有不法分子结合此前CSDN泄露的密码一对比,很容易就能获得这些支付宝账户的登陆权限。
4、很重要的一点,根据shenghuo.alipay.com的robots协议,禁止所有搜索爬虫抓取(https://shenghuo.alipay.com/robots.txt )。
问题来了,既然禁止了搜索爬虫,那Google和360是如何抓取到这些机密付款信息的呢?
真的是支付宝官方声明的“极少量用户将自己付款结果分享到了公共区域”么?
我随机选取了泄密信息中的十位用户进行核实,搜索后发现,有3名用户付款信息可以被各大搜索引擎查到,但并没有Google和360搜索上抓取到的“付款结果链接”(贴自己付款截图还能理解,贴链接?还真没找到)。这说明,“极少量”用户可能存在分享行为的,但这些“极少量”用户均没有分享支付宝的链接。而其他7 名用户在“公共区域”的付款信息则完全搜索不到。
所以,支付宝官方声明的结论并不成立。最关键的,Google和360上泄露的信息都是指向你支付宝服务器上的页面,而不是那些所谓公共网页链接。
那还有什么可能导致这起泄密事件呢?(以下内容欢迎支付宝技术部门工程师来辩)
其实只有1个理由:用户的360浏览器。
百度工程师赵明华曾经设置的一个孤岛钓饵(http://www.ebrun.com/20120904/55497.shtml )恰好能解释这种情况。(注:本人无意挑拨360和百度关系,只讲道理,看图便知)
其实,支付宝交易信息在互联网上也是“孤岛”,由于其禁止了搜索爬虫抓取,理论上不存在泄露至搜索引擎可能。但如果用户使用的是360浏览器,360搜索蜘蛛便可根据安全浏览器记录的付款链接,反向抓取该链接背后的网页,这也就是为何泄密信息在Google和360搜索上是以网页快照形式存在原因。
为什么Google上也有?其实,由于Google和360的合作关系,Google一直有抓取360服务器上链接。两家在2010年曾发生过一起乌龙事件,当时360安全浏览器存放上述“机密”网址的服务器曾在2010被Google爬虫意外进入,彼时导致了包括三峡公司财务报表、奇瑞汽车采购文件和百余万条淘宝交易记录被泄露,比支付宝这次可劲爆多了。想扒坟的,看这里:http://life.ycwb.com/2012-11/02/content_4095378.htm
所以,每次马云吹嘘自己淘宝、天猫交易信息的商业价值时,躲在暗处的某个业界的“颠覆式创新”老大一定忍不住暗笑吧。你懂的。
