妖孽 发表于 2011 年 11 月 17 日 11:28:46

当当网存严重漏洞 千万用户信息在“裸奔”

网友“张永生”在微博上透露,经他个人测试,个人用户轻易就可以抓取到总共4000多万个当当用户的姓名、联系方式、地址等个人详细资料。而网友“单eye皮”更是表示

知名网络安全平台发布消息称,国内着名的电子商务网站当当网存在严重系统漏洞,其4000万用户资料可被网友轻易地窃取。随后当当网方面作出回应,称该漏洞经发现后第一时间已修复。
网友“张永生”在微博上透露,经他个人测试,个人用户轻易就可以抓取到总共4000多万个当当用户的姓名、联系方式、地址等个人详细资料。而网友“单eye皮”更是表示,经测试当当网所泄露的准确的用户个人资料数量达:41637995 条,不少作为当当用户的网友在得知这个消息后,通过漏洞赤裸裸地看到自己的个人信息暴露在公众之下,都主动进入当当网将个人信息删除。网友“hntangwei”更是在微博中调侃当当网和当当网的CEO李国庆(微博):“作为前当当用户,我能不能要求把自己的信息删除掉?请当当网和李国庆为用户开发一个取消注册功能!”
第三方安全问题反馈平台乌云漏洞平台透过其官方微博发布的信息显示,当当网存在着设计缺陷或逻辑方面的错误,乌云漏洞平台提供了当当网漏洞的详细说明和漏洞证明,别有用心的用户可以轻易查看在当当网购买产品的用户的姓名、联系方式、地址等详细资料,大量用户的资料或因此被泄露。
值得注意的是,乌云-漏洞报告平台负责人通过微博平台告诉南方日报,他们发现当当网系统漏洞后,第一时间通过线上线下方式告示当当网。但是面对此重大系统漏洞问题,当当网同样选择回避。直到网友信息被大量泄漏,系统漏洞被直接公开后,才选择修复。“我们有理由相信,当当网明知其千万用户隐私信息被窃取,而选择宁愿不作为。”
当当网“仓促”冷却泄密事件
据乌云漏洞平台介绍,当当网在得知其存在如此重大的信息漏洞后,第一时间采用的是屏蔽网友访问的方法来进行修复,其手法也是非常“业余”。从专业的安全领域专家来看,问题远未得到应有的重视,而事件的主角当当网方面更是有逃避责任之嫌。
国内某黑客组织负责人黄先生在接受南方日报记者采访时表示,此次当当网所泄露的用户资料的严重性,其实已经可以媲美今年曾经一度让索尼频临危机、甚至让CEO下台的黑客入侵盗取资料事件。今年4月,索尼宣布遭黑客侵入索尼公司位于美国圣迭戈市的数据服务器,窃取了索尼PS3和音乐、动画云服务网络Qriocity用户登录的个人信息,包括姓名、住址、生日、登录名和密码等,受影响用户多达7700万人,涉及57个国家和地区,这起最多可能导致约1亿人份的个人信息外泄,曾一度让索尼被迫停止在线游戏服务的个人信息遭窃事件堪称迄今为止规模最大的一次。
相对比全球瞩目的索尼泄露个人信息事件,当当网方面的回应和处理则要显得“轻描淡写”。“如此草率的处理方式,其实一方面体现了当当网对用户资料泄露的问题的不够重视,罔顾用户利益。另外一方面,可能也是当当网希望能够迅速把事件通过公关手段给‘冷却’下来,避免遭到应有的惩罚。”黄先生对当当网的处理方式非常不满。“当当网至少应该公布具体遭泄露个人信息的用户数量,同时对所有遭泄露个人信息的用户提供赔偿!”黄先生最后补充道。
当当网漏洞泄露用户信息的事件除了应当承担用户的赔偿损失外,有法律界人士也指出,当当网同时还有可能触及了国家在互联网管理和个人隐私方面的相关法律法规。据记者了解,在今年8月,工信部就对《互联网信息服务管理规定》开始公开征求意见。其中,对互联网信息服务提供者收集个人信息行为作出了明确的规定。《互联网信息服务管理规定》第十三条特别指出,互联网信息服务提供者应当妥善保管用户个人信息。发生网络安全事件造成或者可能造成用户个人信息泄露的,相关互联网信息服务提供者应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向工业和信息化部及相关省、自治区、直辖市通信管理局报告,并配合相关部门进行调查处理。
而就在刚结束的十一届全国人大常委会第二十三次会议上,也表决通过关于修改居民身-份-证法的决定,修改后的居民身-份-证法加大了对泄露公民个人信息行为的处罚力度。泄露公民个人信息,不仅要面临刑事处罚,还要承担经济赔偿等民事责任。
这也就是说,如果确定是当当网泄露了公民个人信息,公民可依法提起民事诉讼,要求赔偿。面对如此严重的法律后果,也不难理解当当网为何公关“仓促”冷却事件了。
国内个人信息安全存在隐患
“从专业安全领域来看,这次当当网泄漏用户资料的事件可谓非常严重。”金山网络反病毒工程师李铁军在接受南方日报记者采访时对这次事件发表了自己的看法,“从问题曝光之后,在安全领域的圈内引起了极大的反响,有网友利用漏洞轻易获取了当当网上超过4000万用户的详细个人信息,虽然当当网方面宣称是因为新系统上线导致的短时间内的漏洞,但是其实从技术上很难判断这个漏洞是最近才有还是一直存在的,总共到底有多少用户资料被泄漏。”李铁军认为当当网的处理说法并不够说服力,更多的是用来应付普罗大众的公关举措。
“通过当当网这个事件,应该敲响对安全领域特别是个人信息安全的警钟。”李铁军特别强调了每个用户应该重视自己的信息安全。“中国消费者安全意识还过于薄弱,普遍的现象是如果自己的信息在身边被泄漏的话,可能还会比较紧张,但是通过第三方,如网络这些渠道的泄漏,则显得无所谓,但是危害其实非常大!”近日就有媒体报道了个人资料泄露造成损失的案例:一位远在上海的消费者从电子商务网站上购买物品后选择了货到付款方式,结果没有想到所购买的真货还没有送到,骗子已经捷足先登,抢先于正规的电子商务网站送货上门并领走货款,用户和电子商务网站多番交涉后才知道原来中间被骗。这个案例的最大根源就是不法分子利用非法手段盗取了消费者的购物信息,然后再利用网上购物需要进行商品配送的特点对消费者进行了诈骗。
页: [1]
查看完整版本: 当当网存严重漏洞 千万用户信息在“裸奔”