【编者按】10月24日下午消息，在黑客大赛GeekPwn现场，有极客提交了嘟嘟美甲充值系统的漏洞。攻击者利用这一漏洞，可以利用支付宝微信等支付工具替别人结账。

　　10月24日下午消息，在黑客大赛GeekPwn现场，有极客提交了嘟嘟美甲充值系统的漏洞。攻击者利用这一漏洞，可以利用支付宝微信等支付工具替别人结账。

　　在用户发起购买后，商户APP会讲付款请求发送给支付类应用。嘟嘟美甲存在的问题是，在发送付款单据的过程中，因为未进行加密，这些数据在APP内有可能被中间人劫持并纂改。

　　对此，支付宝回应称，举例说A用户和B用户均在同个(或不同商家)购买了商品，A用户使用的APP在发送付款请求给支付工具时，请求数据在商户App内部被中间人劫持并篡改为B用户实际付款的单据，导致A用户在手机上看到自己在付款，而实际上是为B用户付款。通俗来说，就好比吃饭埋单时被服务员换成了另一桌的单子，拿去收银台付款了。

　　支付宝表示，虽然这个漏洞出在商户端，与支付工具无关。但是前段商户App漏洞导致的信息被劫持，会影响到后端所有支付类应用。因此，这一漏洞被披露后支付宝在微博上呼吁所有支付行业同仁一起，来通知商户排查是否存在同样漏洞，并帮助商户共同修复漏洞，控制风险。

　　支付宝称，作为支付行业的一员，我们深刻理解在安全面前谁也无法独善其身，所有支付行业同仁与商户是一个整体，保护用户安全是我们共同的目标。站在整个行业和用户的立场上，获知相关情况后，支付宝已第一时间联系这家美甲App，并愿意为其紧急修复提供帮助。