邻家小妹让我欲罢不能据国内安全问题反馈平台wooyun()称,京东商城存在用户权限控制不当漏洞,会导致用户资料完全泄漏,易被第三方获取。据漏洞报告平台微博显示,该平台为一个位于厂商和安全研究者之间的安全问题反馈平台。根据wooyun平台上的漏洞描述显示,京东商城在某些业务上存在用户权限控制不当的漏洞,导致任意用户登录系统后,都可以正常访问到所有用户的信息,包括:姓名、地址、电话、Email等。 就在京东商城被指存在安全漏洞之后,有用户反映,其在京东商城的账户被京东商城告知已经不存在,多次使用注册邮箱登录均显示无此用户。目前并不知道具体原因以及有多少用户存在上述情况。京东商城方面也未对此发表任何言论。 针对信息漏洞,京东商城信息部副总裁李大学向记者回应称:截至目前,公司没有对外任何漏洞的存在。公司本着对用户负责的态度,正在核查漏洞。自漏洞发布之后,公司正积极地与漏洞的发布者联系,期望建立一个安全的网购。 事实上,京东商城并非第一家被指存在安全漏洞的电子商务网站,今年11月,京东商城的竞争对手当当网也被wooyun爆出由于设计缺陷可导致用户资料泄露。此前针对当当网漏洞发布的报告描述,用户只要在登录后,按步骤修改特定的网址就可得到全部当当网收件人的地址、姓名及联系方式,报告者在详情描述中称漏洞是由于“某处设计不当,不能过于详细,太容易发现了”。 网络安全组织TitleOWAS殷先生对《每日经济新闻》记者表示,当当网和京东商城对这一问题属于代码设计的漏洞问题导致用户信息存在被泄露的风险。 “程序员在代码设计中往往认为所有的数据对于他而言是透明的,而忘记了针对普通用户需要在代码上设置更加严格的。”殷先生表示,上述操作就导致了一个普通的用户或许可以通过某种特定代码获知其他用户的信息,从而导致信息外泄。不过,殷先生表示,这种信息的获取需要一定的技术知识。 而对于上述漏洞,业内专家表示,就跟微软的安全漏洞一样,只需要打上补丁就可以修复,并不会造成用户信息的泄露,不过,如果程序员不及时修补漏洞的话,则可能造成大规模的信息外泄。 法律专家赵占领表示,目前,《中华人民国侵权责任法》明确的隐私权,《刑法》也了泄露个人信息可能要承担刑事责任,用户可以通过民事、刑事途径,但关键是比较难收集。 赵占领认为,网络漏洞的与管理仍需靠电商的自觉,据他透露,目前工信部正在牵头制定关于个人信息的首个国家标准,目前该标准还没颁布。 值得一提的是,昨日,在微博上爆料,网易163邮箱在找回密码页面莫名绑定陌生的QQ号码,怀疑163邮箱账号被大面积种植后门。随后有网友表示已经中招,怀疑为被。对此,网易公司表示,目前出现的涉及网易邮箱被种植后门的说法为。网易当前的系统程序一切正常,没有后台漏洞,账号信息也没有出现泄露情况。网易对于发布未经的的行为表示遗憾和。 本文由 恒宇国际(www.neivn.cn)整理发布 |