好險我都不用淘寶 0x0

還好我也沒用

詐騙集團只要去 google 然後把庫頁存檔 save 下來...
這都是寶貴資料啊...要騙多少就有多少...全都是潛在客戶
大金庫耶

真假？！？！？！

1000個詐騙有1個成功就賺了-x-

goo.gl/VjrpY 是這個嗎？

我也沒用過=w=

想太多，那些是及時到帳，對我直接交易的沒有任何影響，我的資料還很安全

email洩露了就很多了-x-

真恐怖

如果沒幫人代付的話有光是mail也騙不掉甚麼人就是了...支付保有雙種密碼阿

不在強國消費

earthling: 就算你不買，在夜市路邊攤都會買到

minkenhsu: 我指不到那裡買東西,不是說不會用到MIC的東西

tomascat: 像太多，支付寶安全性比爛爛的露天paylink安全多了

支付寶也是有乍騙的, 你沒試過帳戶的錢直接被轉走嗎?

用機器人登入淘寶, 下單, 轉帳, 幾秒內完成交易

Google 已經將庫頁存檔都刪除了...動作還蠻快的

各位知道支付寶可以綁定當超過指定限額，需要手機短信吧？我開了不代表其他人也有開，通常安全性低階的帳戶(未綁定手機)是不能開此功能，當一個月大到人民幣10000元，這是一個必備的選項

超誇張的...

minkenhsu: = =|||

看了 你的撲了 恩~~你是該幫支付寶說話

fif68512001: 也沒有說幫不幫支付寶說話，只是該支付寶的帳號讓人知道並不影響交易安全，請詳閱一下有關支付寶和淘寶網的交易原則，不必要隨著大家驚恐起舞。

感覺同上，支付寶安全多了，金流機制比台灣好上很多(這是我覺得中國少數比台灣優秀的地方)

這條新聞寫得很清楚了，如果是真的漏洞，怎麼只會有幾千筆資料？ 淘寶跟支付寶的交易量大到很誇張的。 big5.xinhuanet.com/gate/...

原來有些人對於自己的個資洩漏的態度竟然是 "不必驚恐" ...

你的 email 跟交易金額洩漏...表示 詐騙集團就可以利用來詐騙...1000人只要1人被騙他就賺到了...當然希望被騙的人不是你的家人或朋友

如果可以因為交易量有數十萬或數千萬才洩漏幾千筆, 所以不用擔心??? 那資安可以不用做了.反正比例太低...

而且反正才幾千筆, 那也不用那麼急忙地把這個漏洞補起來了啊..

TigerZZ: 支付寶即時到帳功能，一般使用率極低，一般用於論壇續費和迅雷續費等等，跟淘寶網的付帳不一樣，就算拿到這個資料也不足以危害到交易安全和達成欺騙的手段，算是有瑕疵，但是在可控制的範圍內。

TigerZZ: 你可查一下台灣的個人資料法，一張表格上必須同時有姓名/電話/地址，只要將部份資訊抹星號，讓資料不足以辨識即可

我想注重的原因錯誤了，我的意思是如果真是漏洞，那洩漏當然是很嚴重的事情，但如果是人為的使用問題...那這是要怪誰？如果真是漏洞，不會才洩漏區區兩千多筆資料而已。就好比有一些使用者設定了近乎透明的密碼，然後被人看光資料，然後怪罪系統沒有幫忙隱藏，不是一樣很奇怪嗎？

不管在厲害的系統都敵不過天兵般的使用者。
這是我做金流系統的時後的感想，就算好心隱藏了一些資料還是有使用者靠么有的沒有的，說甚麼造成不便等等，例如PCHOME的系統就這樣被靠么過。

光是拿到 email 跟購物所在在台灣就有許多人被詐騙成功了, 更何況還有其他資訊..."這對你們來講還只是瑕疵..在可控制範圍之內?" 這倒是今天我看到的第一個愚人節笑話了

桂子..你現在應該沒做金流了吧...你的態度讓我很害怕...你在哪一間公司做過? 可否提出參考一下?????

TigerZZ: 我想您可能過度模糊焦點了，我要說的是，因為使用者個人的使用問題，導致自己的資料洩密，這種過失要誰來擔當？

TigerZZ: 如果是系統本身設計有這樣的漏洞可以隨意查詢資料洩漏個資也就算了，但是架不住有人主動把資料提供給第三者觀看啊，您也許可能沒注意到這件新聞本身發生的原因吧？

您問的金流系統大多目前市面上的我都參與做過，照您這樣說，基本上不管是金流還是任何網站安全性都不能相信都不能用了，

在嚴謹的系統，都沒辦法阻止使用者的布當心，否則為什麼各種需要安全的系統一直要出一些讓使用者覺得很煩的機制呢？還不就是因為有太多的使用者因為自己的不當心造成資料失竊或者是被人盜用，然後怪罪於系統本身沒做好，才會越搞越麻煩，如果本身的習慣就好，只要本身系統沒有安全上的被攻擊隱患，根本不會有機會被人盜用。

我今天要說的一句話是業界內流傳最廣的一段話：設計一套系統，千萬要把使用者當白痴看，因為你永遠不知道那些白癡會亂搞些甚麼東西。

也許我這話罵到很多這種人，但是對於系統設計者來說，就是因為有太多這樣那樣的問題是因為使用者自身而產生的，才讓系統設計者無言以對。

今天我也不是要替支付寶說話，我又沒有半分好處，今天是站在一個公正的圈內人說這些話，我自己除了設計系統之外，更多的也在台灣的購物網站上使用過多年，比起來，台灣的購物系統有著更多嚴重的洩漏情資案件，比如說PCHome商店街，幾乎是每買一樣東西沒多久就有詐騙集團知道了買家的一堆資料，這還不扯嗎？

回頭來看，支付寶有誇張到每次買東西資料就洩漏嗎？也請好好看清楚新聞本身，究竟是因為系統的關係導致可以被Google查詢呢？還是因為使用者的關係？如果是系統的關係，怎麼會只有區區兩千多筆資料？連一天的正式成交量都不到？ 再回頭看看當初好像是戰國策的資料洩漏事件，就知道問題出在誰身上了；我知道使用者遇到這種事情總會有恍孔的不安，但是這樣的問題倒是因為誰產生的，這才是重點。

這讓我想到，不怕神一樣的對手，只怕豬一樣的隊友這句話，對我來說，很多使用者就好比豬一樣的隊友....

言盡於此，我只能說，如果單說這種使用者產生的安全性隱患都要計較的話，全世界有太多太多的系統都不合格，甚至只要掌控了一定程度以上的內部管理權限，就會產生系統隱患，端看要與不要而已。

防呆不防蠢啊，這讓我想起以前硬碟的電源接頭，明明就做成房屋型了，還是有User可以反著硬上把硬碟燒了...

用支付寶確實比台灣的網拍安全，我在淘寶買過東西，賣家隨便給我一個追蹤碼說出貨了，隔了兩三天沒收到，用追蹤碼一查東西寄到蘇州有人簽收，上去淘寶按申訴馬上就把錢退給我，在臺灣通常是先匯款，要把錢拿回來有得煩了。

正因為大陸是沒有信用可言的地方，所以網拍若是不以保護買家為先，那遊戲就玩不下去了。

所以就你的說法來說, 這次支付寶資料外洩事件是使用者的問題, 並不是支付寶本身系統的問題就對了

使用者造成的問題當然是使用者自己要負責, 但是系統的問題硬要推到使用這這便就太超過了...你們講那麼多的結論就是..因為無法防止任何白痴使用者, 所以這次外洩事件跟支付寶無關?

明明就是系統問題, 扯那些有的沒的...說自己在金流界做事..連公司名稱也不敢報上來...(是怕公司丟臉嘛?) 系統的問題推給使用者就沒可以了嘛?

看起來就是 支付寶就是讚 囧~~

我覺得遇到鬼打牆的狀態了，是系統問題還是使用者問題，我想諸多採訪新聞裡面內文都寫得很清楚，有概念的人自然看得懂，至於看不懂我也沒招。

至於做過哪些金流，大部分市面上的金流系統我都有做過，那我要報什麼？

不說是因為不想牽扯到其他有的沒有的，可以當作是我唬爛打嘴砲吧！

我覺得繼續參與偏離焦點的對話實在是很浪費時間，我只能說，依照一些使用者對於支付寶的炮轟論點，套用在市面上諸多的安全機制中，幾乎同等於一半甚至更多的機制都是一樣糟糕甚至該去死。

別說是Google的cache抓到的頁面問題了，諸多使用IE瀏覽器的人跟系統，只要有紀錄登入資訊，有太多的軟體都可以藉此抓取那些看似安全的隱密資料，這算不算漏洞？硬要以絕對安全的眼光去看，那都是漏洞，但是如果這些都擋住呢？一堆使用者跳出來說麻煩跟難用，問題最終出在誰身上？我想這不需要多言了，真的要說鑽系統漏洞，多的是辦法，要跟不要而已。

不想在回應鬼打牆的意見了...真要說系統安全的設計，多的是資深人員可以做到，無法執行的原因往往不是因為沒想到或者不做，反而都是因為使用者的關係才造成阻礙，言盡於此了。

markart: 直接在企業網路出口做 mirror port 要多少 post 和 get 有一堆，支付寶那個網頁被找到，也有可能是單位的 Squid 或是防火牆拋出的客戶端瀏覽紀錄，因時間久遠，時間夠長到 google 的蜘蛛能爬行到，那邊流出不重要，快改掉比較重要，幸好流出的資料不是完整敘述客戶資料

多年前(沒上新聞)，曾經某公營運輸大眾郵務單位，發生內部公文系統的PDF文件能被外部找到，這種狀況下就比較緊急些，也是通知他們後很快就被修好了

原來新聞報出來的事情的正確性, 比自己親手 google 到的事實更正確啊? 也難怪會有 "全國人民喜迎油價上漲" 這種新聞了

明明在講支付寶的問題, 老是愛扯到別的單位洩漏或是其他問題..倒底是誰在鬼打牆?

還是只要是不跟隨你的話題轉移的都是鬼打牆?

還是只要是不跟隨你的話題轉移的都是鬼打牆?

還大部分市面上的金流系統你都做過哩...你應該只是做 end-user 端而已吧...這種問題產生... PCI 是一定不會過的...或者你該去 google 一下甚麼是 PCI

其實講穿了就是覺得不安全的就別去用，那只是一個民間企業提供的服務，又不是用稅金的政府單位（就算是也不是台灣人繳的）。

對岸的預防做法應該是直接封掉Google的IP吧，這樣就沒被搜尋的問題XD

markart: 即使這個世界上大多網站都不安全這件事情是事實，也掩蓋不了發生這種事情就是該死的責任與義務。

markart: browser log 除非電腦中 virus 否則根本找不到，這種內控根本就有問題， 敏感資料都散出來的鬼狀況，你真的是個寫 code 的還能幫它話講到這步地步，我真的覺得很佩服你。要我說的話，我覺得這廠商根本是不知羞恥。然後蠢 user 一樣是 user ，這個資料確實是從他們站上流出來的，他們自己要負責。這並不是外人的錯， blame 他只是剛好而已。

拿 browser 的紀錄跟這種明顯的資料外洩比，你開什麼玩笑..

「昨天中午，支付寶通過官方微博發布聲明指出，已對相關頁面鏈接加具了安全保護，正常情況下任何搜索引擎都無法抓取。而谷歌之所以能抓取，很可能是因為有極少量用戶主動將自己付款結果頁面分享到公共區域。」

為什麼這些 private 或敏感性資料是 public 的，一般網站系統設計都是會需要設計成需要 login 或者滿足一定條件才能瀏覽的。就算真的連結外洩，也不應該能被 google 索引，所以這怎麼看都是網站設計上的失誤。不是什麼使用者的蠢失誤。

這並不是使用者的錯，這是蠢網站的錯。

「　　昨日淩晨，支付寶已經對相關頁面做了修改，將付款結果頁面的交易雙方支付寶賬號等信息全部去掉，增加一個消費記錄詳情的鏈接，該鏈接點擊後需要交易雙方登錄後才可以查看，任何其他人都無法查看。」 人家連怎麼改都寫給你看了，還能跳針到這是 user 的錯真的是很猛...

因為支付寶就是讚就是好囧

我認為這件事情的發生的確並無法證明支付寶的交易不安全，但足以證明支付寶的系統設計跟內控有問題是事實跟他們的確需要受到譴責。

兩碼子事得分開來看。

誰能想像...自己在某一個平台交易買東西...結果這個平台把你自己的交易紀錄 全部給別人看.... 平台該保障安全性...平台說自己安全卻出現安全問題...本因是平台問題...怎麼反過來變成是使用者的問題...