从淘宝的漏洞看安全的危机公关
昨天有阵子很热闹,有人在乌云上报告了一个淘宝的登录任意账户的漏洞,因为淘宝可以直接免登录到支付宝,所以利用这个账户可以直接进入支付宝账户。 我当时看到这个漏洞就感觉问题很严重,就跟阿里的朋友说,这种漏洞,必须在一个小时内修补。因为算上发现,到响应,找到对应的人,提出解决方案,快速直接在线上修改(不可能有严格的测试时间),总是要花一些时间的。 同时我开始找圈内的朋友打听漏洞细节,因为在厂商修复前,乌云是不会披露漏洞细节的。就在我们刚拿到细节分析时,就发现阿里已经修复了,响应速度比我想象…