支付宝开通了个人收款主页,无需泄露个人帐户信息就可以安全收款。对于自由软件开发者收取捐赠还是很方便的
我试用后发现,支付宝 “收款主页” 还是做的欠考虑啊,不成熟,有很大的安全隐患。
以下我的经历和操作过程(账户和email均为化名):
1、为我的支付宝账户fuck@aliapy.com开通收款主页http://me.alipay.com/fuck(根据后面的结果推断,它是把此URL跟email关联了);
2、修改我的支付宝Email账户名称为okay@ibm.com(此时以前的fuck@aliapy.com这个支付宝帐户就不存在了),这是支付宝内的正常操作;
3、用别人的支付宝通过收款主页http://me.alipay.com/fuck给我付款,提示交易成功。注意此次付款竟然是付给早就不再存在的空帐户fuck@aliapy.com!当然,支付宝也意识到该账户不存在,同时提示15日后可以返还付款。(搞错没有,15日那么久,付款人损失惨重!)另外还有撤销交易的可选操作。
由此可见,支付宝“收款主页”开发人员未考虑到“修改Email账户名称”这一常规操作,幼稚的把收款主页URL跟旧的Email关联,不仅导致收款人收不到款,还会给付款人造成资金损失。非常严重的安全事故,支付宝制造。
2011-12-7 liigo补记:支付宝的工作人员在我反馈意见的第五天给出了答复,说“本周解决”。由于我没有及时关注此事,直到一个多月后的今天才看到他们的答复。特意去测试了一下,果然已经改好了。他们答复的原话是:
-
支付宝小二 成竹 2011.10.24 16:55 反馈:亲爱的会员,您好。此问题在本周会解决,感谢您的支持!