3月27日晚间，有微博网友反映部分支付宝生活助手转账付款结果页面被谷歌抓取，支付宝方面调查表示，支付宝对相关页面链接加具了安全保护，正常情况下任何搜素引擎都无法抓取。这次有付款结果页面被收录可能是因为有极少量用户主动将自己付款结果页面分享到公共区域，所谓漏洞真是虚惊一场。

事件

支付宝被指泄露客户信息

27日晚间，有网友在微博上爆出，使用谷歌搜索输入“site：shenghuo.alipay.com转账付款”即可看到各种转账信息，包括付款账户、收款账户、姓名、日期等。支付宝官方微博也在昨天凌晨对此事进行了回应，称初步调查后发现，不排除极少量用户将自己付款结果页面分享到公共区域，造成某些搜索引擎可抓取，并提供了一个论坛的案例。

回应

漏洞多因买家分享链接

微博认证为支付宝公关总监的陈亮昨日中午在其微博上发布了题为“技不如人被骂是活该，但我想把事情讲清楚”的长微博，就支付宝信息漏洞的问题予以官方回应。

支付宝方面表示，相关链接都进行了安全保护，正常情况下任何搜素引擎都无法抓取。谷歌抓取的链接一共是2000多条，在整个支付宝全年几十亿笔的交易中只是极少部分，如果是漏洞就不可能只有2000多条。调查发现，大量被搜索引擎收录的页面在备注里都包含购买集邮品等信息，在相关论坛内也发现有很多用户会分享支付宝或网银的付款结果页面或者链接，以向卖方证实自己已经付款。因此初步判断，这些分享可能是相关页面被搜索引擎抓取的原因。

进展

官方已升级安保策略

支付宝方面表示，为了避免用户的个别分享导致自己的信息被搜索引擎抓取，支付宝决定提升生活助手付款结果页面的保护等级，新的安全机制要求交易双方需要登录后才可以查看付款结果页面，任何其他人都无法查看。这一修改已经于28日凌晨4点发布上线。所以，现在即使有用户继续分享付款结果页面的链接，他人点击后也无法看到任何跟该用户支付宝账号相关的信息。

支付宝公关总监陈亮也在微博上表示，安全和方便的平衡一直都是互联网上的一道难题，支付宝会继续努力做好这个平衡，“做不好被骂那是活该”。

质疑

官方回应经不住推敲

支付宝仅提到该页面没有用户账户名和密码，但认为用户的账户邮箱和手机号，以及一次完整的交易记录详情不是重要信息，这是经不住推敲的。一个黑客掌握了这些信息，已经足以运用到社会工程的攻击手段里去了。

另外，支付宝迅速修改了页面，将邮箱、手机号及付款时间等信息隐去，这和其“重要信息”的概念范畴说法也是矛盾的。

此外，正如该声明所说：信息的泄露，确实不排除有用户将自己的付款结果页面分享到其他公共区域，才造成了爬虫的扒取。

但这里其实涉及到一个新的问题：一个是产品设计上，是否应该允许用户将付款信息页面的URL分享至其他互联网系统中去？是否应该允许非授权的访问？是否应该在页面提醒用户泄露这些信息的风险？是否应该设置会话或页面的失效时间？

支付宝信息泄露早就有

其实支付宝用户交易信息泄露的问题，并不是近日才有的，早在2012年5月27日，就有人将该漏洞提交到了乌云（漏洞报告平台）上，我们看到该漏洞被标注的类型为“敏感信息泄露”，危害等级为“中”，乌云当天将细节通知了厂商，但6月1日更新的状态为“厂商已经主动忽略漏洞，细节向公众公开”。

网友有话说

@劉士元：我只能说支付宝的公关做得很到位，全靠这个总监了，很有力度。

@冯春培-杭州：安全和方便就是游走钢丝绳，问题总会有的，迅速改进呗。当然会有很多趁机起哄的 。

@陈中平：亡羊补牢，还需要道歉 ！（现代快报）