N综合

本报讯“无需密码可随意登录淘宝、支付宝账号。”“淘宝认证缺陷导致可任意登录淘宝、支付宝账号。”前天14时左右，来自国内互联网安全问题发布平台乌云漏洞报告平台的这两条报告，让许多人立马停下手头的事儿，查看自己的淘宝账号是否安好。

前日，淘宝网证实，漏洞已在第一时间修复，只涉及淘宝网，和支付宝无关。然而，漏洞因何而起，仍是一片疑云。

危及用户信息

“你们谁敢告诉我你们的支付宝或者淘宝账号？只要账号，我就能进入到你们的账户！”昨天14时10分，名为“互联网的那点事”的微博大号发布的这么一条信息在网络上炸开了锅。

这场风波源自20分钟前国内一家安全漏洞报告平台。

13时49分，乌云发出第一条漏洞报告。报告提交者“酸奶”表示，黑客通过搜索引擎，不用账号、密码，可直接获取用户的隐私，内容包括账户余额、交易记录、收货地址、姓名、手机号码等敏感信息。14时20分，乌云发出第二条报告，“淘宝认证缺陷导致可登录任意淘宝、支付宝账户”。报告提交者“沧浪浪拔出保健”将这一危害等级设置为“高”。

不过有网友测试称，该漏洞只对个别账户有效，未申请手机绑定、未设置密保问题，若账户存在以上任一情形，均可利用漏洞登录账户。

漏洞因何而起？

17时，乌云爆出漏洞两个多小时后，淘宝网在官方微博上做出回应，并表示已在第一时间完成修复，同时确认没有用户因此漏洞引发资金风险和损失。此外，淘宝将给予此次漏洞发现者5万元现金奖励，而今年还将拿出500万元奖励漏洞发现者。

由于乌云对于两个漏洞只有寥寥几句描述，而淘宝方面也只是简单回应“已修复漏洞”，直到这场风波平息，不少用户仍是摸不着头脑，“漏洞究竟是咋出现的？”