当当网现安全漏洞——数万用户信息暴露于风险中

安全
根据乌云漏洞发布的报告描述,用户只要在登录后,按步骤修改特定的网址就可得到全部当当网收件人的地址、姓名及联系方式,报告者在详情描述中称漏洞是由于“某处设计不当,不能过于详细,太容易发现了”。

日前,第三方安全问题反馈平台“乌云漏洞”通过微博发布信息称,当当网由于设计缺陷可导致用户资料泄露,仅两天,就已经引来了数百名网友转发及评论。虽然当当网在消息公布当天就马上对漏洞进行处理,并称“技术人员在10分钟内立即进行了修复”,但一件10分钟就能完成的事为何会闹得满城风雨?“乌云漏洞”负责人方先生向新快报记者表示,公布当当网漏洞信息主要是因为此前当当网对漏洞毫不重视,因此平台选择公开信息借以引起当当网对安全问题的重视。

  漏洞可泄露数万个用户信息

  根据乌云漏洞发布的报告描述,用户只要在登录后,按步骤修改特定的网址就可得到全部当当网收件人的地址、姓名及联系方式,报告者在详情描述中称漏洞是由于“某处设计不当,不能过于详细,太容易发现了”。

  漏洞公布后,有网友还亲自验证了该信息的真伪,并证实当当网漏洞可以抓取到共4000多万个地址信息。不少业内人士也参与了讨论,其中北京市活力天汇科技有限公司产品事业部总经理 史册伟发微博表示“这个乌龙也太大了吧?传值没问题,但居然不判断address id的所有权是否属于当前用户!”而金山网络反病毒工程师李铁军则转发微博表示,“有漏洞及时处理,天不会塌下来,不重视安全漏洞,不及时修补才是致命的。”

  一位长期从事编程工作的王先生告诉新快报记者,当当网这次出现的漏洞是属于低级错误,“即使是一个业余爱好者也能通过复制地址发现问题。”他表示,一般这种用户信息是不应该出现在地址上的,而应该加密,但可能由于加密耗费的时间成本不少,所以一般网站很少做到,“但没想到像当当网这么大的电商也不对资料加密。”

  而接获报告当日,当当网称已于当天上午对漏洞进行了修复,并表示,经过系统日志检查,不存在大量用户信息被泄露的情况。

  曾数次藐视漏洞报告

  事实上,当当网并不是第一次被发现有漏洞。据乌云漏洞负责人方先生介绍,此前最少两次发现当当网的系统中存在漏洞,但经过联系,当当网并未给予任何回应。方先生介绍说,在乌云漏洞上,一般报告是由网友提供的,而平台会先把报告放在后台,在确认漏洞和通知电商处理后,才会公布报告,“一般漏洞报告都应该在修复后才公布的”,方先生认为这样可以避免漏洞造成系统崩溃或泄漏信息。但事实上,并不是每个电商都重视漏洞,他表示,正是由于当当网对此前的漏洞报告一直没有回应,因此才选择在漏洞修复前公开报告,并想借此引起当当网对安全问题的重视。

  记者在该平台上看到,网站公布的每一个漏洞信息均有一个列表,上面清晰地注明漏洞类型、危害等级以及漏洞状态等信息,而在当当网的漏洞状态一栏显示“未联系到厂商或者厂商积极忽略”。

  记者通过平台查阅发现,除这次公布的漏洞外,当当网还曾被发现“当当网收藏管理XSS漏洞”、“当当网多处存储型XSS漏洞”、“当当网用户隐私泄露漏洞”等,王先生告诉记者,第一个漏洞也是可让“有心人”通过在地址栏插入应用程序盗取用户信息,“这种漏洞甚至能泄露用户密码等更为机密的信息。”而在该报告的回应栏中也显示“未能联系到厂商或者厂商积极拒绝。”记者就此致电当当网公关部经理叶小舟,询问上述漏洞是否也已经解决,但截至交稿,仍未收到任何回应。

  链接 京东商城、凡客诚品均曾现系统漏洞

  据方先生介绍,乌云漏洞是由一群对网络安全感兴趣的IT人于2010年7月建立,但建站才一年多,发现的漏洞已经超过3000个了。通过平台提供的公开信息可以发现,京东商城、163邮箱、搜狐微博等都曾经有不同程度的系统漏洞,而凡客诚品也曾经出现如当当网这种用户信息泄露的程序漏洞。

  方先生认为,在编程中出现漏洞是在所难免的,但现在问题是,有的电商对漏洞并不关心,“像当当网这种已上市的大型电商,在这方面履行责任实在做得不足够。”而事实上,从记者查询的资料看,目前我国仍没建立一个程序漏洞监控的第三方平台,监管仍存在大片空白。

  不过,有网友认为,乌云漏洞这种反映问题的做法与“逼宫”无异,“当当网确实罪不可赦,但是乌云公开这个漏洞,无疑将该漏洞的危险放大N倍……这样确实给了当当网压力,但是也将几千万的用户置于更大的风险中。”

  中国政法大学知识产权中心研究员赵占领表示,目前,《中华人民共和国侵权责任法》对公民的隐私权有明确保护,而《刑法》也规定了泄漏个人信息可能要承担刑事责任,消费者遇到上述情况时可以通过民事、刑事途径维权,但关键是证据比较难收集,尤其像当当网这个情况,消费者可能还没来得及保留证据、进行公证,当当网就已经采取了技术应对措施。以此来看,网络漏洞的监控与管理仍需靠电商的自觉,不过赵占领同时透露,目前工信部正在牵头制定关于个人信息保护的首个国家标准,目前该标准还没颁布。

责任编辑:王文文 来源: 新快报
相关推荐

2011-11-10 16:59:26

当当网安全漏洞用户资料

2024-10-22 15:29:20

2015-07-29 10:23:24

信息泄露当当网

2024-05-23 16:08:26

2010-11-22 12:56:37

2012-07-04 10:16:01

2021-04-15 07:53:15

ParkMobile数据泄露网络犯罪

2024-10-11 13:12:22

2013-05-21 10:12:02

2015-03-14 10:30:58

谷歌漏洞信息泄露

2010-02-21 18:33:28

文件夹病毒照片影像U盘病毒

2013-11-29 09:26:30

Android安卓漏洞

2015-04-22 13:57:17

社保系统安全漏洞信息泄露

2009-05-13 09:49:07

2024-07-12 14:15:00

PDF在线工具加密

2014-12-12 09:43:13

阿里巴巴安全漏洞信息泄露

2015-02-06 09:20:33

2022-04-06 21:32:07

安全漏洞网络安全IT

2012-03-08 09:18:29

2013-01-29 14:56:52

点赞
收藏

51CTO技术栈公众号