2014年2月18日 根据知名漏洞报告平台乌云网公布的消息,淘宝安全认证机制存在漏洞,黑客可以简单利用该漏洞登录他人淘宝/支付宝账号进行操作——任何人无需密码,只需通过搜索引擎、便可直接获取其他用户的隐私(账户余额、交易记录、收货地址、姓名手机号码等敏感信息),目前不清楚是否影响余额宝等业务。
同样出自乌云网的另一个漏洞报道称,淘宝认证缺陷导致可登录任意淘宝账户及支付宝。乌云网报道称该漏洞类型为“设计缺陷、逻辑错误”,并将危害等级标为“高”。目前,该漏洞还在等待厂商进行处理。
有网友甚至已经利用该漏洞登陆了几个淘宝账户并截图证明。
目前,淘宝和支付宝正在对此漏洞进行排查。如果你发现支付宝账户金额丢失,可通过拨打客服热线95188转1进行咨询,转2进行账户冻结。如果得到来自阿里巴巴的进一步反馈,我们会及时对此事件进行更新报道。
更新:收到阿里巴巴的反馈称,经过排查,确认这是近期一个新业务规则引起的短时漏洞目前,他们已经完成了修复,并确认没有用户因为此漏洞引发资金风险及损失。
