乌云称黑客潜入淘宝账户无需密码

作者: Admin 分类: 最新消息 发布时间: 2014-02-19 06:00 ė 6 没有评论

  2014 年 2 月 17 日,国内互联网安全问题发布平台乌云指出,淘宝和支付宝认证存在安全缺陷,黑客可以简单利用该漏洞登陆他人淘宝和支付宝账号进行操作,乌云称已经将漏洞细节提交给了厂商。这条消息立即引发了各界震动,许多淘宝和支付宝的用户甚至是立即停下了手头的工作,查看自己的淘宝账户是否安全。淘宝网方面已经证实了这一漏洞并已经在第一时间恢复,但称只涉及到淘宝网,和支付宝无关。

  2 月 17 日 13 时 49 分,乌云发出第一条漏洞报告。报告提交者“酸奶”表示,黑客通过搜索引擎,不用账号、密码,可直接获取用户的隐私,内容包括账户余额、交易记录、收货地址、姓名、手机号码等敏感信息。虽未太多披露漏洞细节,但提交者表示,漏洞源于『账户体系控制不严』。就在不少网友对这条消息将信将疑的时候,14 时 20 分,乌云发出了第二条针对淘宝、支付宝的漏洞报告『淘宝认证缺陷导致可登录任意淘宝、支付宝账户』。报告提交者『沧浪浪拔出保健』表示,漏洞源于设计缺陷或逻辑错误,同时将这一危害等级设置为“高”。
  17 时,乌云爆出漏洞后的两个多小时后,淘宝网在官方微博上做出回应:

  『今天下午,我们接到反馈称有用户可随意查询淘宝账户,经过我们的排查,确认这是近期一个新业务规则引起的短时漏洞。』淘宝网表示,已在第一时间完成修复,同时确认没有用户因此漏洞引发资金风险和损失。此外,淘宝将给予此次漏洞发现者 5 万元现金奖励,而今年还将拿出 500 万元奖励漏洞发现者。

  由于乌云对于两个漏洞只有寥寥几句描述,而淘宝方面也只是简单回应『已修复漏洞』。直到这场风波平静,不少用户仍是摸不着头脑,『漏洞究竟是咋出现的?』

  依照乌云发布平台的规则,出于安全考虑,漏洞发现者在最初发现漏洞时并不会公开漏洞细节。只有在提交厂商后,等待厂商解决漏洞后,发布者才会择期公开漏洞细节。

本文出自微歌,转载时请注明出处及相应链接。

本文永久链接: http://wego2.com/wu-yun-cheng-hei-ke-qian-ru-tao-bao-zhang-hu-wu-xu-mi-ma.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Ɣ回顶部