- 政策解讀
- 經濟發展
- 社會發展
- 減貧救災
- 法治中國
- 天下人物
- 發展報告
- 項目中心
京東商城曝安全漏洞 用戶住址電話均“裸奔”?
關鍵詞: 京東 安全漏洞 商城 用戶信息 TitleOWAS 用戶資料 用戶權限 用戶登錄 刑法 當當網
互聯網用戶資料大規模泄露事件繼續發酵。繼人人網、天涯社區等社區類網站用戶信息被公布之后,昨日(12月27日),電子商務網站京東商城也被指存在安全漏洞。
京東商城被指存安全漏洞
據國內安全問題反饋平臺wooyun(烏云)稱,京東商城存在用戶權限控制不當漏洞,會導致用戶資料完全泄漏,易被第三方獲取。據烏云漏洞報告平臺官方微博顯示,該平臺為一個位于廠商和安全研究者之間的安全問題反饋平臺。
根據wooyun平臺上的漏洞描述顯示,京東商城在某些業務上存在用戶權限控制不當的漏洞,導致任意用戶登錄系統后,都可以正常訪問到所有用戶的信息,包括:姓名、地址、電話、Email等。
就在京東商城被指存在安全漏洞之后,有用戶反映,其在京東商城的賬戶被京東商城告知已經不存在,多次使用注冊郵箱登錄均顯示無此用戶。目前并不知道具體原因以及有多少用戶存在上述情況。京東商城方面也未對此發表任何言論。
針對信息漏洞,京東商城信息部副總裁李大學向記者回應稱:截至目前,公司沒有對外證實任何漏洞的存在。公司本著對用戶負責的態度,正在核查漏洞。自漏洞發布之后,公司正積極地與漏洞的發布者聯系,期望建立一個安全的網購環境。
當當網也曾陷“泄露門”
事實上,京東商城并非第一家被指存在安全漏洞的電子商務網站,今年11月,京東商城的競爭對手當當網也被wooyun爆出由于設計缺陷可導致用戶資料泄露。
烏云此前針對當當網漏洞發布的報告描述,用戶只要在登錄后,按步驟修改特定的網址就可得到全部當當網收件人的地址、姓名及聯系方式,報告者在詳情描述中稱漏洞是由于“某處設計不當,不能過于詳細,太容易發現了”。
網絡安全組織TitleOWAS成員殷先生對記者表示,當當網和京東商城對這一問題屬于代碼設計的漏洞問題導致用戶信息存在被泄露的風險。
“程序員在代碼設計中往往認為所有的數據對于他而言是透明的,而忘記了針對普通用戶需要在代碼上設置更加嚴格的限制。”殷先生表示,上述操作就導致了一個普通的用戶或許可以通過某種特定代碼獲知其他用戶的信息,從而導致信息外泄。不過,殷先生表示,這種信息的獲取需要一定的技術知識。
而對于上述漏洞,業內專家表示,就跟微軟的安全漏洞一樣,只需要打上補丁就可以修復,并不會造成用戶信息的泄露,不過,如果程序員不及時修補漏洞的話,則可能造成大規模的信息外泄。
法律專家趙占領表示,目前,《中華人民共和國侵權責任法》明確保護公民的隱私權,《刑法》也規定了泄露個人信息可能要承擔刑事責任,用戶可以通過民事、刑事途徑維權,但關鍵是證據比較難收集。
趙占領認為,網絡漏洞的監控與管理仍需靠電商的自覺,據他透露,目前工信部正在牽頭制定關于個人信息保護的首個國家標準,目前該標準還沒頒布。
網易郵箱存后門說法被否認
值得一提的是,昨日,烏云在微博上爆料,網易163郵箱在找回密碼頁面莫名綁定陌生的QQ號碼,懷疑163郵箱賬號被大面積種植后門。隨后有網友表示已經中招,懷疑為被攻擊。
對此,網易公司表示,目前出現的涉及網易郵箱被種植后門的說法為謠言。網易當前的系統程序一切正常,沒有后臺漏洞,賬號信息也沒有出現泄露情況。網易對于發布未經證實的謠言的行為表示遺憾和譴責。
網易相關人士指出,目前網易通行證8億注冊用戶及4.3億網易郵箱用戶信息經過加密保存,是安全和無法破解的。網易用戶還可以選擇將軍令、密保卡、電話密保、手機密保等密保措施保障自身的信息安全。截至目前已經有2000萬網易用戶選擇了將軍令保障信息安全,另外有4000萬用戶選擇了密保卡。