9月15日凌晨,乌云平台漏洞作者“猪猪侠”报告了新浪支付系统出现了SQL注入漏洞,当天新浪支付部门已确认该漏洞。
据了解,SQL注入是网站开发中最常见的一种漏洞,入侵者能够在网站的数据库中直接下载数据,这也就是俗话说的“拖库”。
9月初,黑客就通过SQL注入漏洞,入侵了一个名为“中国校花大赛”的网站,可以轻易拿到全国大批高校418名“校花”的手机号码、QQ、邮箱、身份证等信息。此前杭州某快递网站因为该漏洞遭黑客入侵,1400万条快递数据被黑客偷走。
昨日,新浪支付人士对此回应称,根据乌云网站提供给新浪支付的漏洞概要描述,确认该漏洞为母公司新浪的无线部门在对接支付宝过程中存在SQL注入漏洞,并非新浪支付系统存在的支付系统漏洞。
该人士还表示,新浪无线部门的SQL注入漏洞对新浪支付所经营的第三方支付业务不构成安全威胁,但已通知母公司新浪的无线部门尽快进行漏洞的修复。