繼人人網(wǎng)����、天涯等網(wǎng)站用戶信息被公布之后,昨日電子商務(wù)網(wǎng)站京東商城也被指存在安全漏洞���。
每經(jīng)編輯 每經(jīng)記者 謝曉萍 發(fā)自北京
每經(jīng)記者 謝曉萍 發(fā)自北京
互聯(lián)網(wǎng)用戶資料大規(guī)模泄露事件繼續(xù)發(fā)酵��。繼人人網(wǎng)��、天涯社區(qū)等社區(qū)類網(wǎng)站用戶信息被公布之后��,昨日(12月27日)�����,電子商務(wù)網(wǎng)站京東商城也被指存在安全漏洞��。
京東商城被指存安全漏洞
據(jù)國(guó)內(nèi)安全問(wèn)題反饋平臺(tái)wooyun(烏云)稱�,京東商城存在用戶權(quán)限控制不當(dāng)漏洞,會(huì)導(dǎo)致用戶資料完全泄漏���,易被第三方獲取���。據(jù)烏云漏洞報(bào)告平臺(tái)官方微博顯示,該平臺(tái)為一個(gè)位于廠商和安全研究者之間的安全問(wèn)題反饋平臺(tái)���。
根據(jù)wooyun平臺(tái)上的漏洞描述顯示����,京東商城在某些業(yè)務(wù)上存在用戶權(quán)限控制不當(dāng)?shù)穆┒?��,?dǎo)致任意用戶登錄系統(tǒng)后����,都可以正常訪問(wèn)到所有用戶的信息����,包括:姓名�����、地址���、電話、Email等����。
就在京東商城被指存在安全漏洞之后,有用戶反映���,其在京東商城的賬戶被京東商城告知已經(jīng)不存在�,多次使用注冊(cè)郵箱登錄均顯示無(wú)此用戶���。目前并不知道具體原因以及有多少用戶存在上述情況�����。京東商城方面也未對(duì)此發(fā)表任何言論�����。
針對(duì)信息漏洞��,京東商城信息部副總裁李大學(xué)向記者回應(yīng)稱:截至目前�,公司沒(méi)有對(duì)外證實(shí)任何漏洞的存在����。公司本著對(duì)用戶負(fù)責(zé)的態(tài)度,正在核查漏洞��。自漏洞發(fā)布之后��,公司正積極地與漏洞的發(fā)布者聯(lián)系��,期望建立一個(gè)安全的網(wǎng)購(gòu)環(huán)境�����。
當(dāng)當(dāng)網(wǎng)也曾陷“泄露門(mén)”
事實(shí)上��,京東商城并非第一家被指存在安全漏洞的電子商務(wù)網(wǎng)站���,今年11月��,京東商城的競(jìng)爭(zhēng)對(duì)手當(dāng)當(dāng)網(wǎng)也被wooyun爆出由于設(shè)計(jì)缺陷可導(dǎo)致用戶資料泄露�����。
烏云此前針對(duì)當(dāng)當(dāng)網(wǎng)漏洞發(fā)布的報(bào)告描述�����,用戶只要在登錄后�,按步驟修改特定的網(wǎng)址就可得到全部當(dāng)當(dāng)網(wǎng)收件人的地址、姓名及聯(lián)系方式�����,報(bào)告者在詳情描述中稱漏洞是由于“某處設(shè)計(jì)不當(dāng)����,不能過(guò)于詳細(xì),太容易發(fā)現(xiàn)了”���。
網(wǎng)絡(luò)安全組織TitleOWAS成員殷先生對(duì)《每日經(jīng)濟(jì)新聞》記者表示����,當(dāng)當(dāng)網(wǎng)和京東商城對(duì)這一問(wèn)題屬于代碼設(shè)計(jì)的漏洞問(wèn)題導(dǎo)致用戶信息存在被泄露的風(fēng)險(xiǎn)����。
“程序員在代碼設(shè)計(jì)中往往認(rèn)為所有的數(shù)據(jù)對(duì)于他而言是透明的�����,而忘記了針對(duì)普通用戶需要在代碼上設(shè)置更加嚴(yán)格的限制�����。”殷先生表示���,上述操作就導(dǎo)致了一個(gè)普通的用戶或許可以通過(guò)某種特定代碼獲知其他用戶的信息�����,從而導(dǎo)致信息外泄���。不過(guò)�,殷先生表示����,這種信息的獲取需要一定的技術(shù)知識(shí)。
而對(duì)于上述漏洞�,業(yè)內(nèi)專家表示,就跟微軟的安全漏洞一樣�����,只需要打上補(bǔ)丁就可以修復(fù),并不會(huì)造成用戶信息的泄露�,不過(guò),如果程序員不及時(shí)修補(bǔ)漏洞的話�,則可能造成大規(guī)模的信息外泄。
法律專家趙占領(lǐng)表示����,目前,《中華人民共和國(guó)侵權(quán)責(zé)任法》明確保護(hù)公民的隱私權(quán)��,《刑法》也規(guī)定了泄露個(gè)人信息可能要承擔(dān)刑事責(zé)任�����,用戶可以通過(guò)民事����、刑事途徑維權(quán),但關(guān)鍵是證據(jù)比較難收集���。
趙占領(lǐng)認(rèn)為���,網(wǎng)絡(luò)漏洞的監(jiān)控與管理仍需靠電商的自覺(jué)�,據(jù)他透露�,目前工信部正在牽頭制定關(guān)于個(gè)人信息保護(hù)的首個(gè)國(guó)家標(biāo)準(zhǔn),目前該標(biāo)準(zhǔn)還沒(méi)頒布���。
網(wǎng)易郵箱存后門(mén)說(shuō)法被否認(rèn)
值得一提的是���,昨日,烏云在微博上爆料����,網(wǎng)易163郵箱在找回密碼頁(yè)面莫名綁定陌生的QQ號(hào)碼,懷疑163郵箱賬號(hào)被大面積種植后門(mén)��。隨后有網(wǎng)友表示已經(jīng)中招�����,懷疑為被攻擊�����。
對(duì)此�,網(wǎng)易公司表示���,目前出現(xiàn)的涉及網(wǎng)易郵箱被種植后門(mén)的說(shuō)法為謠言�。網(wǎng)易當(dāng)前的系統(tǒng)程序一切正常,沒(méi)有后臺(tái)漏洞��,賬號(hào)信息也沒(méi)有出現(xiàn)泄露情況�。網(wǎng)易對(duì)于發(fā)布未經(jīng)證實(shí)的謠言的行為表示遺憾和譴責(zé)。
網(wǎng)易相關(guān)人士指出����,目前網(wǎng)易通行證8億注冊(cè)用戶及4.3億網(wǎng)易郵箱用戶信息經(jīng)過(guò)加密保存,是安全和無(wú)法破解的���。網(wǎng)易用戶還可以選擇將軍令��、密?��?ā㈦娫捗鼙?���、手機(jī)密保等密保措施保障自身的信息安全。截至目前已經(jīng)有2000萬(wàn)網(wǎng)易用戶選擇了將軍令保障信息安全�����,另外有4000萬(wàn)用戶選擇了密保卡�。
