20142月18日 根据知名漏洞报告平台乌云网发布的消息,淘宝安全认证机制存在漏洞。黑客可以简单地利用这个漏洞登录他人的淘宝/支付宝账户进行操作——任何人都不需要密码,只需通过搜索引擎直接获取其他用户的隐私(账户余额、交易记录、接收地址、姓名、手机号码等敏感信息)。目前还不清楚余额宝和其他业务是否受到影响。
据乌云网的另一个漏洞报道,淘宝的认证缺陷导致任何淘宝账户和支付宝都可以登录。乌云网报道称,漏洞类型为“设计缺陷,逻辑错误”,并标记危害等级“高”。目前,该漏洞仍在等待制造商处理。
一些网民甚至利用这个漏洞登录了几个淘宝账户,并证明了截图。
目前,淘宝和支付宝正在调查这一漏洞。如果您发现支付宝账户数量丢失,您可以拨打客户服务热线95188转1咨询,转2冻结账户。如果我们得到阿里巴巴的进一步反馈,我们将及时更新该事件。
更新:收到阿里巴巴的反馈后,调查确认这是近期新业务规则造成的短期漏洞。目前,他们已完成修复,并确认没有用户因此造成资本风险和损失。