你在用余额宝吗？你觉得它安全吗？  

  近日，国内著名信息安全反馈平台“乌云”曝出了一个支付宝的登录漏洞。 

  您先别慌，阿里巴巴官方称，这个漏洞当天已被修复，并未造成用户财产损失。

  任何人，点击进去后，都会自动进入他人淘宝账户页面，还可以直接跳到支付宝。任何人，只要遍历url中的user_num_id，就可以浏览任意账户。

  最关键的是，这一切根本不需要登录。  

  这么一说，你或许没啥直观感觉。那小编概括下该漏洞的几个特点：

  1.你的身份信息全泄漏了  

  这是该漏洞最直接的威胁。当别人毫无阻碍地进入你的淘宝账户页面，后果就是你的姓名、手机号，快递地址等诸多隐私全都一览无遗。此外，你的余额宝余额，存储情况也都一清二楚。

  2.不会直接影响你的支付宝账户

  这个漏洞并不能直接被利用来转移支付宝里的钱。人家支付宝毕竟不是吃素的。想把余额宝的账转出来，好歹是要转账密码的。这一步的验证，这个漏洞无法绕过。  

  3.影响不了的钱，坏事却能做很多  

  但是，如果你觉得因为这个漏洞无法直接威胁到财产安全，就认为这不是什么大事。

  那你就太天真了。  

  作为一个成熟的系统，支付宝有许多接口，该漏洞相当于直接绕过了较复杂的登录接口。  

  打个比方，支付宝就是一个保险箱，打开他需要多层密码。现在这个漏洞让所有人可以绕过密码。直接打开了将近两扇门。虽然后面还有加密的门，但这已经相当程度简化了干坏事的成本。  

  而且，有了用户信息等隐私内容，“黑帽子”已然可以做很多坏事。最简单粗暴的方法就是“钓鱼”。根据这些信息，想“点对点”黑进你的账户并非难事。

  不过，幸好阿里巴巴及时修复了这个漏洞。而且还奖励了发现这个漏洞的“白帽子”5万元，并表示将继续拿出500万重奖那些帮助寻找漏洞的“白帽子”。  

  但是谁知道，未来还会不会有别的更厉害的漏洞呢？

  要知道，去年3月27日，支付宝也曾曝出重大漏洞。同样是使用谷歌，就可以搜索出大量的支付宝交易记录，包括付款账户、收款账户、姓名、日期等。支付宝当夜修复了漏洞。

  虽然漏洞情况不同，但信息安全问题，必须引起我们极大重视。

  支付宝算得上很完善的支付体系，验证措施完备。但是，互联网世界从来就没有百分之百安全的，技术在发展，技术宅也越来越多。

  而且，“树大招风”，余额宝如此大的收益，如此大的用户基数，被各种黑白帽子轮流夹攻，招架不住也不好说。这次被曝光的漏洞就是最好的例子。

  所以，你如何看待这次漏洞？你还信任支付宝及各种互联网产品吗？你对网络信息安全问题又有何见解？

  新民网 2014.2.19文/卞英豪