阿里巴巴的支付宝“收款主页”惊现重大安全隐患

支付宝开通了个人收款主页，无需泄露个人帐户信息就可以安全收款。对于*软件开发者收取捐赠还是很方便的<wbr style="orphans:2; text-indent:0px; widows:2; background-color:rgb(255,255,255)"></wbr>。申请开通地址：https://shenghuo.alipay.com/transfer/mc/in<wbr>dex.htm</wbr>

我试用后发现，支付宝 “收款主页” 还是做的欠考虑啊，不成熟，有很大的安全隐患。

以下我的经历和操作过程（账户和email均为化名）：

1、为我的支付宝账户[email protected]开通收款主页http://me.alipay.com/fuck（根据后面的结果推断，它是把此URL跟email关联了）；

2、修改我的支付宝Email账户名称为[email protected]（此时以前的[email protected]这个支付宝帐户就不存在了），这是支付宝内的正常操作；

3、用别人的支付宝通过收款主页http://me.alipay.com/fuck给我付款，提示交易成功。注意此次付款竟然是付给早就不再存在的空帐户[email protected]！当然，支付宝也意识到该账户不存在，同时提示15日后可以返还付款。（搞错没有，15日那么久，付款人损失惨重！）另外还有撤销交易的可选操作。

由此可见，支付宝“收款主页”开发人员未考虑到“修改Email账户名称”这一常规操作，幼稚的把收款主页URL跟旧的Email关联，不仅导致收款人收不到款，还会给付款人造成资金损失。非常严重的安全事故，支付宝制造。

2011-12-7 liigo补记：支付宝的工作人员在我反馈意见的第五天给出了答复，说“本周解决”。由于我没有及时关注此事，直到一个多月后的今天才看到他们的答复。特意去测试了一下，果然已经改好了。他们答复的原话是：

• 支付宝小二 成竹 2011.10.24 16:55 反馈：亲爱的会员，您好。此问题在本周会解决，感谢您的支持！