阿里巴巴的支付宝“收款主页”惊现重大安全隐患
2011-10-20 12:13
363 查看
支付宝开通了个人收款主页,无需泄露个人帐户信息就可以安全收款。对于自由软件开发者收取捐赠还是很方便的。申请开通地址:https://shenghuo.alipay.com/transfer/mc/index.htm
我试用后发现,支付宝 “收款主页” 还是做的欠考虑啊,不成熟,有很大的安全隐患。
以下我的经历和操作过程(账户和email均为化名):
1、为我的支付宝账户fuck@aliapy.com开通收款主页http://me.alipay.com/fuck(根据后面的结果推断,它是把此URL跟email关联了);
2、修改我的支付宝Email账户名称为okay@ibm.com(此时以前的fuck@aliapy.com这个支付宝帐户就不存在了),这是支付宝内的正常操作;
3、用别人的支付宝通过收款主页http://me.alipay.com/fuck给我付款,提示交易成功。注意此次付款竟然是付给早就不再存在的空帐户fuck@aliapy.com!当然,支付宝也意识到该账户不存在,同时提示15日后可以返还付款。(搞错没有,15日那么久,付款人损失惨重!)另外还有撤销交易的可选操作。
由此可见,支付宝“收款主页”开发人员未考虑到“修改Email账户名称”这一常规操作,幼稚的把收款主页URL跟旧的Email关联,不仅导致收款人收不到款,还会给付款人造成资金损失。非常严重的安全事故,支付宝制造。
我试用后发现,支付宝 “收款主页” 还是做的欠考虑啊,不成熟,有很大的安全隐患。
以下我的经历和操作过程(账户和email均为化名):
1、为我的支付宝账户fuck@aliapy.com开通收款主页http://me.alipay.com/fuck(根据后面的结果推断,它是把此URL跟email关联了);
2、修改我的支付宝Email账户名称为okay@ibm.com(此时以前的fuck@aliapy.com这个支付宝帐户就不存在了),这是支付宝内的正常操作;
3、用别人的支付宝通过收款主页http://me.alipay.com/fuck给我付款,提示交易成功。注意此次付款竟然是付给早就不再存在的空帐户fuck@aliapy.com!当然,支付宝也意识到该账户不存在,同时提示15日后可以返还付款。(搞错没有,15日那么久,付款人损失惨重!)另外还有撤销交易的可选操作。
由此可见,支付宝“收款主页”开发人员未考虑到“修改Email账户名称”这一常规操作,幼稚的把收款主页URL跟旧的Email关联,不仅导致收款人收不到款,还会给付款人造成资金损失。非常严重的安全事故,支付宝制造。
2011-12-7 liigo补记:支付宝的工作人员在我反馈意见的第五天给出了答复,说“本周解决”。由于我没有及时关注此事,直到一个多月后的今天才看到他们的答复。特意去测试了一下,果然已经改好了。他们答复的原话是:支付宝小二 成竹 2011.10.24 16:55 反馈:亲爱的会员,您好。此问题在本周会解决,感谢您的支持!
相关文章推荐
- 支付宝5月4日起将停止收款主页业务 保留三种收款方式
- 支付宝将停止收款主页业务,保留三种收款方式
- 刘领福的收款主页 - 支付宝,有问题联系我Q642161679 gouwu966.taobao.com
- 梦行扫码付 新增收款账号(支付宝)
- 开心网存在重大安全隐患
- 支付宝、微信、QQ 收款二维码三合一
- WHMCS成功安装和使用方法及添加支付宝,PayPal收款教程
- 支付宝曝重大漏洞,交易记录可被搜索
- ASP.NET虚拟主机的重大安全隐患
- 哈哈,和阿里巴巴支付宝签约了!
- 大家注意了,支付宝被曝重大安全漏洞,回应称正在跟进排查
- step-by-step集成阿里巴巴支付宝接口
- return a==b?a:b;//谈谈你对这段代码的看法 百度面试题引来支付宝员工和阿里巴巴员工围观热议
- ASP.NET虚拟主机的重大安全隐患
- 支付宝微信个人收款接口不让申请,谁来提供收款第三方支付接口
- 我的五面经历--腾讯 百度 支付宝 阿里巴巴
- 我的五面经历--腾讯 百度 支付宝 阿里巴巴
- ASP.NET虚拟主机的重大安全隐患
- USER_LOGONID_DUP 请检查收款账号是不是自己的签约支付宝账号。 原因及处理
- 雅虎与阿里巴巴就支付宝展开谈判