|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
新快报见习记者 陆琨倩
# ~% _$ k# Q( S6 Y) D% h% {8 E+ L5 T Z2 z
数万用户信息暴露于风险中,当当网反馈称,已修复漏洞
' v/ S( B+ |1 c7 |+ O% j0 U3 c
( c. ]. M$ N( _5 M' O6 I日前,第三方安全问题反馈平台“乌云漏洞”通过微博发布信息称,当当网由于设计缺陷可导致用户资料泄露,仅两天,就已经引来了数百名网友转发及评论。虽然当当网在消息公布当天就马上对漏洞进行处理,并称“技术人员在10分钟内立即进行了修复”,但一件10分钟就能完成的事为何会闹得满城风雨?“乌云漏洞”负责人方先生向新快报记者表示,公布当当网漏洞信息主要是因为此前当当网对漏洞毫不重视,因此平台选择公开信息借以引起当当网对安全问题的重视。4 U! s7 V% a2 o" E4 k. x* [! c
( {' {% I4 F4 J: e( S! Z
漏洞可泄露数万个用户信息
6 B1 ]3 `! `2 }& t c @7 `. Q0 ~9 {8 f6 j6 j6 y0 a* |- K
根据乌云漏洞发布的报告描述,用户只要在登录后,按步骤修改特定的网址就可得到全部当当网收件人的地址、姓名及联系方式,报告者在详情描述中称漏洞是由于“某处设计不当,不能过于详细,太容易发现了”。
& m9 r. M, f- U& \9 T( l) {2 T0 e& | X- j, d- H
漏洞公布后,有网友还亲自验证了该信息的真伪,并证实当当网漏洞可以抓取到共4000多万个地址信息。不少业内人士也参与了讨论,其中北京市活力天汇科技有限公司产品事业部总经理史册伟发微博表示“这个乌龙也太大了吧?传值没问题,但居然不判断addressid的所有权是否属于当前用户!”而金山网络反病毒工程师李铁军(微博)则转发微博表示,“有漏洞及时处理,天不会塌下来,不重视安全漏洞,不及时修补才是致命的。”
+ W% _/ a5 B" g. H) Z5 T& X
) n; f0 Q; { G) A一位长期从事编程工作的王先生告诉新快报记者,当当网这次出现的漏洞是属于低级错误,“即使是一个业余爱好者也能通过复制地址发现问题。”他表示,一般这种用户信息是不应该出现在地址上的,而应该加密,但可能由于加密耗费的时间成本不少,所以一般网站很少做到,“但没想到像当当网这么大的电商也不对资料加密。”1 ~: b2 u' R+ D- m. r" r9 [
3 Y+ g6 n& s* n# ^
而接获报告当日,当当网称已于当天上午对漏洞进行了修复,并表示,经过系统日志检查,不存在大量用户信息被泄露的情况。" J) |$ Z( @+ E) ]" \
. G* _9 s4 |2 d5 T曾数次藐视漏洞报告2 W6 E; e9 g6 g
, m2 a! ~3 G; g+ w0 u; G
事实上,当当网并不是第一次被发现有漏洞。据乌云漏洞负责人方先生介绍,此前最少两次发现当当网的系统中存在漏洞,但经过联系,当当网并未给予任何回应。方先生介绍说,在乌云漏洞上,一般报告是由网友提供的,而平台会先把报告放在后台,在确认漏洞和通知电商处理后,才会公布报告,“一般漏洞报告都应该在修复后才公布的”,方先生认为这样可以避免漏洞造成系统崩溃或泄漏信息。但事实上,并不是每个电商都重视漏洞,他表示,正是由于当当网对此前的漏洞报告一直没有回应,因此才选择在漏洞修复前公开报告,并想借此引起当当网对安全问题的重视。+ L0 v8 D3 Q; [5 o' |4 P! z3 Q: S( r
7 H) m6 c, D* U& c7 I
记者在该平台上看到,网站公布的每一个漏洞信息均有一个列表,上面清晰地注明漏洞类型、危害等级以及漏洞状态等信息,而在当当网的漏洞状态一栏显示“未联系到厂商或者厂商积极忽略”。0 I3 B! ^0 L; I F( | s* j' o
- T! ~. B8 z8 t& B8 |6 `记者通过平台查阅发现,除这次公布的漏洞外,当当网还曾被发现“当当网收藏管理XSS漏洞”、“当当网多处存储型XSS漏洞”、“当当网用户隐私泄露漏洞” 等,王先生告诉记者,第一个漏洞也是可让“有心人”通过在地址栏插入应用程序盗取用户信息,“这种漏洞甚至能泄露用户密码等更为机密的信息。”而在该报告的回应栏中也显示“未能联系到厂商或者厂商积极拒绝。”记者就此致电当当网公关部经理叶小舟,询问上述漏洞是否也已经解决,但截至交稿,仍未收到任何回应。
- T* d4 V9 f+ W2 q/ d/ l1 i5 L, F/ w3 G4 S. r0 v
链接京东商城、凡客诚品均曾现系统漏洞6 u+ h$ a3 {7 G$ x3 |! @
8 }: Q4 m+ r* D- }1 Z
据方先生介绍,乌云漏洞是由一群对网络安全感兴趣的IT人于2010年7月建立,但建站才一年多,发现的漏洞已经超过3000个了。通过平台提供的公开信息可以发现,京东商城、163邮箱、搜狐微博等都曾经有不同程度的系统漏洞,而凡客诚品也曾经出现如当当网这种用户信息泄露的程序漏洞。
& ]/ o& V4 z2 x, W t v2 b4 p( x J
方先生认为,在编程中出现漏洞是在所难免的,但现在问题是,有的电商对漏洞并不关心,“像当当网这种已上市的大型电商,在这方面履行责任实在做得不足够。”而事实上,从记者查询的资料看,目前我国仍没建立一个程序漏洞监控的第三方平台,监管仍存在大片空白。9 X [6 [! ` v0 Z5 `
( v3 j$ h. l. @/ q不过,有网友认为,乌云漏洞这种反映问题的做法与“逼宫”无异,“当当网确实罪不可赦,但是乌云公开这个漏洞,无疑将该漏洞的危险放大N倍……这样确实给了当当网压力,但是也将几千万的用户置于更大的风险中。”3 {: a+ Z7 q5 ^" l
: _1 |) F0 U- q5 x/ U中国政法大学知识产权中心研究员赵占领表示,目前,《中华人民共和国侵权责任法》对公民的隐私权有明确保护,而《刑法》也规定了泄漏个人信息可能要承担刑事责任,消费者遇到上述情况时可以通过民事、刑事途径维权,但关键是证据比较难收集,尤其像当当网这个情况,消费者可能还没来得及保留证据、进行公证,当当网就已经采取了技术应对措施。以此来看,网络漏洞的监控与管理仍需靠电商的自觉,不过赵占领同时透露,目前工信部正在牵头制定关于个人信息保护的首个国家标准,目前该标准还没颁布。$ i/ a1 k* |- O/ N
|
|