新浪科技新聞10月24日下午，在黑客大賽的GeekPwn網(wǎng)站上，極客們在Dudu指甲充值系統(tǒng)中提交了一個漏洞。攻擊者可以利用此漏洞利用其他支付工具（如支付寶微信）來查看其他支付工具。

在用戶發(fā)起購買之后，商家APP將向支付應(yīng)用程序發(fā)送支付請求。 Dudu釘子的問題在于，在發(fā)送付款文件的過程中，由于沒有加密，這些數(shù)據(jù)可能被APP中的中間人劫持和篡改。

作為回應(yīng)，支付寶回應(yīng)說，例如，A和B用戶都在相同（或不同的商家）購買商品，并且A用戶使用的APP請求數(shù)據(jù)被商家App中的中間人劫持。在向支付工具發(fā)送付款請求時。然后改為B用戶的實際支付賬單，使A用戶看到他在手機上付款，但實際上是為B用戶付款。一般來說，當(dāng)服務(wù)員支付賬單時，它就像是另一張桌子的清單，并向收銀員付款。

支付寶表示雖然這個漏洞存在于商家方面，但它與支付工具無關(guān)。但是，由先前商家應(yīng)用程序的漏洞引起的信息被劫持，這將影響后端中的所有支付應(yīng)用程序。因此，在披露此漏洞后，支付寶呼吁微博上的所有支付行業(yè)同事通知商家檢查是否存在相同的漏洞，并幫助商家共同修復(fù)漏洞并控制風(fēng)險。

支付寶表示，作為支付行業(yè)的一員，我們深知在安全方面沒有人能夠免于安全。所有支付行業(yè)的同事和商家都是一個整體。保護用戶安全是我們的共同目標(biāo)。在了解了整個行業(yè)和用戶的情況后，支付寶首次聯(lián)系了美甲應(yīng)用，并愿意幫助其進行緊急維修。 （尚紫）

« 上海電信機房維護通知 | 互聯(lián)網(wǎng)+在寒冷的冬季時代，健康和醫(yī)療保健仍然有一個很大的面貌 »