阿裏來往被曝光存設計缺陷 致淘寶號遭破解
中國網 china.com.cn 時間: 2013-10-31 內容來源: 新華網
據經濟之聲《天下公司》報道,安全問題發佈及反饋平臺烏雲昨天發佈了一份讓阿里巴巴膽寒的報告,報告中,阿裏旗下社交軟體“來往”被質疑,由於存在設計缺陷,可能導致淘寶賬號被破解。
根據漏洞描述,用戶通過淘寶帳戶登陸來往後,由於應用本身設計的缺陷,可能導致駭客通過來往破解用戶淘寶賬號,從而波及到支付寶餘額寶的安全問題。據了解,阿里巴巴有淘寶和支付寶兩大賬號體系,而且存在互通關係。此前,阿里巴巴已將淘寶、支付寶、來往之間的賬號打通,一旦有一端出現漏洞,其他賬號也將受到牽連。
對此,阿里巴巴今天給經濟之聲發來聲明稱:近日,來往團隊注意到某安全平臺透露“來往帳號存在安全風險,可能威脅支付寶和餘額寶的資金安全”。來往團隊接到消息後第一時間核實,根據安全監控,目前未發現來往帳號異常;一直以來,來往賬戶從未支援支付寶帳號登錄,因此用戶支付寶和餘額寶的資金安全,不會受到任何威脅。
不過一位業內技術人員告訴我們,阿裏線下産品統一用一個賬號確實有風險。
技術人員:既然打通,一定會存在安全風險和隱私風險,但是首先要有技術、有策略來解決這些風險,有很成熟的方案,比如用戶自身的授權,應該將更多的時間花在內測以及內部的品質控制,把這種漏洞極早地在産品發佈之前解決。
同時,這位業內技術人員表示,按照業內的規矩,技術漏洞是應該在産品推出之前做好測試。
技術人員:從技術的角度來説,是人就會犯錯誤,出現漏洞也是很正常的事情。但是從産品的角度,很多漏洞往往是會導致一個産品失敗,是很嚴重的問題,不應該暴露在已經推送給用戶,對用戶有傷害這樣的情況下,而是應該在之前,自己內部的使用也好,內部的測試也好,有足夠的時間去發現去解決的。
責任編輯: 劉穎穎 |