如何看待餘額寶於2014年2月再次爆出漏洞的情況?

餘額寶信用卡還款疑似存在刷錢漏洞(需特定信用卡)

今天看好友圈有人發烏雲平台上面又有人提交了餘額寶的漏洞,而且還能夠刷錢?如何看待這類事件?有沒有安全圈子的人能夠幫忙解答一下啊?

漏洞簡要描述:

受目前日支付限額影響,理論上每天都能用此Bug獲得5萬元不明來歷的資金,十分令人震驚。


首先烏雲的目的還是將白帽子或普通用戶發現的安全漏洞及時通知廠商進行確認與修復,這個「漏洞」在提交者眼中確實是一個非常恐怖的安全問題(刷錢啊我了個去),但支付寶在經過確認後發現他確實是個問題,但不是支付寶自身的問題,也進行了回復:

已確認是中國銀行內部原因,與支付寶及餘額寶系統無關,銀行後續會對此類還款錯誤進行沖正。謝謝火星梅梅!

此漏洞不為支付寶的漏洞,這個漏洞大概就是這麼個情況。

但目前皮球踢到了中國銀行這邊,烏雲君徹底解決修復漏洞的態度,將這個問題繼續提上報給中國銀行方面進行處理,儘快修復該問題。

此次支付寶表明不是自己的問題,直接公開的做法欠妥。

可以跟烏雲官方反饋一下,把廠商轉到銀行,不至於漏洞流傳開,可能造成其他嚴重的影響。

有人懷疑是白帽子刷了錢再去要獎勵,這種懷疑是建立在無依據以及想像的基礎之上,對提交漏洞的作者確實有些不尊重。

廠商處理後烏雲跟此白帽子交流過,刷錢的兩次行為都為測試行為,刷到的錢都不敢使用(甚至這張卡到目前仍不敢正常消費,就為了給廠商提供現場證據)。

全部都實名,你會刷完了,然後報漏洞,然後去花裡面的錢嘛?

==========================update=========================

漏洞作者在支付寶漏洞下面回復:

2014-02-20 19:32 | 火星梅梅

我是IT業內人士,但工作並不涉及安全,此Bug純屬偶然發現。 發現後,立即向阿里安全應急響應平台提交了漏洞,但一直無人處理。後來我先後使用微博私信和支付寶客服電話,向支付寶反映此問題。支付寶客服要求提交信用卡賬單,故等到第二天出賬後提交賬單截圖給支付寶,但仍未有及時的回應,後再次致電支付寶催促解決此問題。 與此同時,同事建議向烏雲反饋此事,依靠其業界的影響力應該能迅速得到回應,故將漏洞提交給烏雲。沒想到支付寶以是中行問題為由直接忽略了此漏洞,導致相關細節被披露。後在烏雲管理員的要求下,本著解決問題的出發點,重新向中行提交了此Bug。 在此次事件中,我對支付寶的表現比較失望,響應用戶反饋漏洞的態度不夠積極,反應速度慢,對事情的處理也不夠謹慎。 目前,支付寶已經單方面暫時關閉了中行的還款渠道,中行方面我也通過客服電話,以及和理財經理聯繫,向北京分行反映了這個問題,期待問題能夠迅速解決。

2014-02-21 13:48 | 火星梅梅

其實這個Bug被嚴重低估了,我後來想了一下,雖然信用卡通道有5W的日支付上限,但支付寶方面還款失敗,並沒有使用到限額,所以理論上,一天能夠刷無限多的錢。


目前漏洞被支付寶忽略了,說是中行的問題。出漏洞真沒啥的,正常。但是這個事兒上不管是誰的責任,最起碼入口點在支付寶這裡,我覺得支付寶可以先臨時採取一些方案比如暫停這個類型卡的還款支持,與中行攜手解決了這個問題,千萬別踢皮球。

目前這個漏洞烏雲又提交給了中行一份(中國銀行某信用卡還款漏洞)。


這個「漏洞」在兩個月前已經存在了。之所以把漏洞打引號,是因為我並不能確定這個是真的可以被利用的漏洞。即使可以復現。

我聽到的版本是使用淘寶購物然後選擇找人代付,代付的人使用信用卡,blabla然後就能套現了。不排除是銀行(or特定銀行)和支付寶做transaction的時候有bug。應該是介面API的問題。

從另外一個角度講,這筆錢即使利用漏洞騙出來了,也沒有人蠢到會去用。因為銀行每天都會對賬,每一筆交易都是可以溯源的,這就是為什麼銀行的交易系統沒人敢動,不是動不了,而是沒有用(因為篡改了交易記錄這個錢也不敢用,更何況篡改交易記錄的難度極大)。

還一個重點就是信用卡,一旦被溯源到,這個人就可以直接被定性為信用卡騙貸+危害網路安全兩個罪名。信用卡騙貸的本來罪名雖然不大,但是現在跟個人徵信記錄掛鉤了,一旦有不良記錄,出國簽證都是問題。


已確認是中國銀行內部原因,與支付寶及餘額寶系統無關,銀行後續會對此類還款錯誤進行沖正。


暈 這錢 你刷了敢用嗎?


推薦閱讀:

DDoS(分散式拒絕服務)攻擊是無解的嗎?
如何看待招行一網通強制改為手機登錄並使用弱密碼?
交友軟體是怎麼知道我的姓名和電話號碼的?
HMAC與MAC演算法在密碼學的區別?
指紋支付為什麼沒有推廣?

TAG:網路安全 | 黑客Hacker | 信息安全 | 漏洞 | 餘額寶 |