阿里来往被曝光存设计缺陷 致淘宝号遭破解

中国网 china.com.cn  时间: 2013-10-31  内容来源: 新华网

    据经济之声《天下公司》报道,安全问题发布及反馈平台乌云昨天发布了一份让阿里巴巴胆寒的报告,报告中,阿里旗下社交软件“来往”被质疑,由于存在设计缺陷,可能导致淘宝账号被破解。

  根据漏洞描述,用户通过淘宝帐户登陆来往后,由于应用本身设计的缺陷,可能导致黑客通过来往破解用户淘宝账号,从而波及到支付宝余额宝的安全问题。据了解,阿里巴巴有淘宝和支付宝两大账号体系,而且存在互通关系。此前,阿里巴巴已将淘宝、支付宝、来往之间的账号打通,一旦有一端出现漏洞,其它账号也将受到牵连。

  对此,阿里巴巴今天给经济之声发来声明称:近日,来往团队注意到某安全平台透露“来往帐号存在安全风险,可能威胁支付宝和余额宝的资金安全”。来往团队接到消息后第一时间核实,根据安全监控,目前未发现来往帐号异常;一直以来,来往账户从未支持支付宝帐号登录,因此用户支付宝和余额宝的资金安全,不会受到任何威胁。

  不过一位业内技术人员告诉我们,阿里线下产品统一用一个账号确实有风险。

  技术人员:既然打通,一定会存在安全风险和隐私风险,但是首先要有技术、有策略来解决这些风险,有很成熟的方案,比如用户自身的授权,应该将更多的时间花在内测以及内部的质量控制,把这种漏洞极早地在产品发布之前解决。

  同时,这位业内技术人员表示,按照业内的规矩,技术漏洞是应该在产品推出之前做好测试。

  技术人员:从技术的角度来说,是人就会犯错误,出现漏洞也是很正常的事情。但是从产品的角度,很多漏洞往往是会导致一个产品失败,是很严重的问题,不应该暴露在已经推送给用户,对用户有伤害这样的情况下,而是应该在之前,自己内部的使用也好,内部的测试也好,有足够的时间去发现去解决的。

责任编辑: 刘颖颖
标题图片