今天偶然发现支付宝有潜在的安全问题。我在未登录支付宝的情况下，居然看到别人的用户信息！如下：

当我点击几个链接之后回头再点“个人中心首页”，居然又出现了不同的人名：

有地址有生日有联系方式。两位支付宝用户的私人信息就这样暴露在我眼前了！

事情还不止如此，请听我慢慢分解。

先说事情的起因。起因是这样的，我有一个几乎已经不用的收费的 263 邮箱，由于我曾经使用它若干年，一直不舍得把它扔了，鉴于它收费不高，每个月5块钱，每次到期的时候我还是会续一下费。今天上午我给它续费，转完帐弹出来一个支付宝“付款成功”页面：

上面说“恭喜您得到一张年货卡”，虽然知道是蒙人的，但还是好奇他们的蒙法，所以我就“点击进入”了：

然后点击“查看我的年货卡”，您猜怎么着，就出现了本文开头的那张图片了。

完全没有窥视别人隐私的意思，我只是想看看支付宝的这一错误能让我走多远，于是我点了“个人资料”：

不过细心一下可以发现，这里的资料和前面第一张图片里的资料并不吻合，比如这里的现居地是重庆，前面是浙江。

我继续点“头像设置”：

然后是“兴趣爱好”：

“其他资料”：

看完这些，让我觉得胆战心惊──我能看到别人的信息，意味着别人或许也能看到或者已经看到了我的！然后我又重新点了下“个人中心首页”，我靠，居然人名又变了，我看到了本文开头的第二张图片。而她的“个人资料”如下：

当我再点“头像设置”、“兴趣爱好”、“其他资料”时，出现的结果跟之前的是一样的。

这种情形持续了大约半个小时左右，我赶紧把我能看到的现场PrintScreen下来。等这一工作做完我再试图重现上述结果时，发现结果变得正常了，点“查看我的年货卡”会打开让我登录的页面：

我曾对之前结果的出现做了若干种善意的猜测，比如支付宝的各位开发者为了想让用户看到登录之后的样子，故意做个 fake page 出来，以作 demo，但最后这个登录界面让我彻底打消了之前的念头。没有登录的用户就是应该看到一个要求登录的界面，出现其他内容一概是不正常的！

我们可以对这个异常状况出现的原因做一下猜测：

• 由于我的某种操作，加上支付宝后台系统的某个BUG，某个临界条件被触发，以致于系统返回了数据库中某些随机的条目，然后被我看到
• 这些随机条目非常随机，以致于同一个帐户底下的信息也自相矛盾，不同的帐户有信息重合──很显然，我看到的用户信息和用户名之间可能根本就没有对应关系
• 不久之后，临界条件消失，系统恢复正常

猜测之后是结论： alipay sucks!

上述各图片均可点击以看大图，有兴趣的可以点开仔细观看。所有图片只经过两种修改：

1. 一屏抓不下来的，分多次抓取，然后用 GIMP 拼接起来，以便查看
2. 为保护别人隐私，关键信息已用黄色抹去

其余细节均未有任何改动。

本文欢迎转载，请告诉你的朋友，支付宝很不安全，请谨慎使用。

分类:乱    ( RSS 2.0 Responses are currently closed, but you can trackback from your own site. )