【淘宝漏洞】乌云再发警告：黑客潜入淘宝账户无需密码

尽管许多网民仍对这一消息表示怀疑，但在14时20分，乌云发布了针对淘宝和支付宝的第二份漏洞报告，“淘宝认证缺陷导致登录任何淘宝和支付宝账户”。。。。。

尽管许多网民仍对这一消息表示怀疑，但在14时20分，乌云发布了针对淘宝和支付宝的第二份漏洞报告，“淘宝认证缺陷导致登录任何淘宝和支付宝账户”对此，金山反病毒工程师李铁军解释说，此次黑云暴露出的两个漏洞主要涉及用户账户隐私，危害程度较高。

"你可以在没有密码的情况下随意登陆淘宝和支付宝账户.""淘宝认证缺陷导致免费访问淘宝和支付宝账户."昨天14: 00左右，来自国内互联网安全问题发布平台黑云漏洞报告平台的这两份报告让许多人立即停止他们正在做的事情，并检查他们的淘宝账户是否安全。

昨日，淘宝证实，这是最近一项新的商业规则造成的一个短期漏洞，并已首先得到修复。支付宝公共关系部相关负责人表示，经核实，漏洞仅涉及淘宝，与支付宝无关。然而，漏洞产生的原因仍然是个谜。

淘宝有漏洞，与支付宝无关

“谁敢告诉我你的支付宝或淘宝账户？只要账号，我就可以输入你的账号！”昨天14点10分，微博上发布的这样一条信息“互联网上的那个小东西”成了互联网上的一个爆炸。

这个看似噱头的消息很快得到了证实。就在“挑战”信息发布后一分钟，“互联网的一些事情”在微博上发布了一个网民淘宝账户的截图。图中，“forwhere”在2月14日购买了6包猫砂和1铲猫砂，并在1月6日使用支付宝购买联通预付费电话卡和其他购物信息，一个接一个。

该事件源于20分钟前的一个国内安全漏洞报告平台。

13时49分，乌云发布了第一份泄漏报告。该报告的提交者“优格”表示，黑客可以通过搜索引擎直接获取用户隐私，而无需使用账号或密码，包括账户余额、交易记录、接收地址、姓名和手机号码等敏感信息。尽管漏洞的细节没有被披露，但作者表示这些漏洞源于“对账户系统控制不严”。

尽管许多网民仍对这一消息表示怀疑，但在14时20分，乌云发布了针对淘宝和支付宝的第二份漏洞报告，“淘宝认证缺陷导致登录任何淘宝和支付宝账户”该报告的作者“沧浪退出医疗”，称泄漏是由于设计缺陷或逻辑错误，并将危险级别设置为“高”。

“我的余额宝里大约有10万元。黑客不应该直接撬开它吗？“在东单附近工作的李先生浏览完网上新闻后，仍然不知所措，尽管他首先确认了他的支付宝账户没有改变。和他一样，很多网民都在担心巨额的余额宝账户是否不再安全。

17时，在乌云泄漏两个多小时后，淘宝在官方微博上回应。

“今天下午，我们收到反馈，有些用户可以随意查询淘宝账户。经过我们的调查，我们确认这是一个由最近新的业务规则造成的短期漏洞。”淘宝表示，它首先完成了修复工作，并确认没有用户因该漏洞而遭受资本风险和损失。此外，淘宝将给予漏洞发现者5万元的现金奖励，今年将再给予漏洞发现者500万元。

支付宝公共关系部相关负责人告诉记者，经核实，“漏洞只涉及淘宝，与支付宝无关。”

淘宝漏洞到底是怎么出现的？

由于乌云对这两个漏洞的描述很少，淘宝网只对“固定漏洞”做出了简短回应。直到风暴平息，许多用户仍然困惑，“泄漏是如何出现的？”

根据黑云发布平台的规则，出于安全考虑，漏洞发现者在首次发现漏洞时不会透露漏洞的详细信息。只有在提交供应商并等待供应商解决漏洞后，发布者才会在可选的基础上公开漏洞的详细信息。昨天21: 00，记者再次登录乌云。在两个漏洞的发布页面上，披露状态已更新为“制造商已确认，详细信息只对制造商开放”。

对此，金山反病毒工程师李铁军解释说，此次黑云暴露出的两个漏洞主要涉及用户账户隐私，危害程度较高。

"其中一个漏洞是浏览器可以捕获用户的交易信息."李铁军解释说，按照正常程序，消费者在网上购物时，淘宝对用户的交易信息严格保密，不能被浏览器捕捉到。这可能是由于淘宝业务处理过程中的一个漏洞，该漏洞使得“黑客”能够通过运行浏览器获取购物记录。然而，“任意登录账号”的漏洞可能源于淘宝服务器处理一些关键信息的问题，这使得“黑客”可以通过其他途径绕过登录密码的门槛。

“一般来说，漏洞对用户帐户的隐私构成更多威胁。“黑客可以利用这两个漏洞通过网页浏览帐户信息，但无权操作帐户。”李铁军表示，尽管泄漏事件发生两个多小时后，淘宝官方已经修复，但消费者仍需警惕泄漏的“后遗症”。

最近，有一些交易，还没有收到他们的购买的用户应该特别警惕。“一旦犯罪分子获得交易记录，伪装成卖家，并以此作为回报服务，欺诈就可能发生。”李铁军提醒用户，如果收到类似的退货和换货提醒，必须通过淘宝平台验证对方的身份。

"在某种程度上，安全漏洞是不可避免的."世通公司的刘启成表示，包括阿里巴巴和腾讯在内的国内互联网公司已经建立了一个相对完整的风险防控体系，但如何降低脆弱性，如何从源头上加以阻断，仍然是企业需要克服的难题。但是，在漏洞发生后，要尽快提醒用户注意风险以及如何避免漏洞，这是互联网公司最重要的事情，不能一拖再拖。