17日下午，国内著名的漏洞报告平台乌云发布紧急预警称，淘宝和支付宝认证被爆存在安全缺陷，黑客可以简单利用该漏洞登录他人淘宝、支付宝账号进行操作，目前不清楚是否影响余额宝等业务，乌云已经将漏洞细节提交至厂商。

2月17日下午4点左右，淘宝发微博对账号存在漏洞的消息予以了证实，称这是近期一个新业务规则引起的短时漏洞，已在第一时间进行了修复。

淘宝是这么回应的：

“今天下午，我们接到反馈称有用户可随意查询淘宝账户，经过我们的排查，确认这是近期一个新业务引起的短时漏洞，我们在收到反馈后第一时间快速完成了修复。目前已经确认没有用户因为此漏洞引发资金风险及损失。

非常感谢今天反馈该问题的人士，我们将对您予以5万元现金奖励！同时我们今年仍将拿出500万元重奖帮助我们发现漏洞的白帽子，并欢迎大家来security.alibaba.com报告漏洞。”

这里面其实很有讲究：

1. 阿里没有否认这个漏洞。

对比05年时愚蠢的否认支付宝控件漏洞，这次成熟多了。纸是捂不住火的，掩耳盗铃的做法只会损失正面形象。

2. 将漏洞的危害与后果直接了当的说出来，安抚用户的恐慌情绪。

因为漏洞并不等于造成危害，这中间有一个过程。不管阿里有没有说真话，至少客户的恐慌情绪得到了安抚。

3. 五万元现金奖励不多不少。

之前行业里最大的单笔奖金额度是腾讯发给黑哥的20万。但那是因为黑哥连续给腾讯报了一年的漏洞。单笔5万元的现金奖励对于大多数是屌丝的白帽子来说已经相当有吸引力，足够起到一个榜样的作用，也给未来提升奖励额度留下了空间。同时从侧面来看，阿里也是被这个漏洞吓到了，所以处理的非常果断。

4. 提出500万元的奖励计划。

这是迄今为止行业的最高奖励额度，之前腾讯和360都只给出了一两百万。

阿里摆出的是一个姿态：我们对白帽子们是持有开放的心态，我们不怕出安全问题，我们用于承担责任，我们鼓励白帽子来发现我们的问题，接受监督。

阿里在此时悬赏500万，就是为了给客户一种信心：我们是安全的。

5. 请白帽子直接将问题提交给阿里。

这次白帽子直接提交到乌云，让阿里非常被动。如果是提交给阿里，可能这问题就内部消化掉了，也不会让大家出一身的冷汗。所以这次以后，如果还有白帽子想拿这500万，可能就得单独找阿里了。

阿里这连消带打的一套组合拳，成功的将事件的影响化到了最小，非常值得其他公司借鉴。

同时，常在河边走，哪能不湿鞋。安全是一个持续的过程，不要想着永远不出安全问题，而应该看出了安全问题后，如何快速响应，如何把风险控制在最小。阿里的安全团队磨练了这么多年，已经是相当不容易了。

来源：城市信报,道哥的黑板报