📖 ZKIZ Archives

蘇寧用戶信息泄露漏洞被證實

來源: http://www.infzm.com/content/114239

9月6日,市民從蘇寧位於杭州的一家門店外走過。 (新華社 龍巍/圖)

近日,烏雲網上公布了蘇寧易購的信息泄露漏洞,漏洞的類型為用戶敏感資料大量泄露。

原來一位名為“路人甲”的白帽子(識別並公布系統安全漏洞但不惡意利用的網絡高手/編者註)在蘇寧的實體店里購買了幾件電器後不久就多次接到了400開頭的詐騙電話。白帽子騙子不堪電話騷擾,挖出了蘇寧信息泄露的漏洞。

根據“路人甲”的描述,他在蘇寧實體店購買產品後,店員沒有經過其同意便把他的個人資料及訂單註冊上傳到了蘇寧易購上。

“路人甲”用手機找回了密碼,登陸後就出現了他的產品訂單。訂單顯示,他在今年9月14日和9月17日分別購買了一臺洗衣機和冰箱。

通過自己的訂單信息,白帽子簡單地修改了網址後面的數字參數後,就找到了多個客戶信息。這些客戶的信息包括訂單時間、收貨人姓名、電話以及收貨地址、發票信息等。

11月4日下午,廠商蘇寧回應了“路人甲”的信息泄露漏洞狀態。蘇寧確認漏洞的危害等級為“高”。

烏雲網平臺安全專家王彪告訴南方周末記者,這個屬於訂單遍歷(指全部的用戶信息都可以查到/編者註)問題。蘇寧沒有對訂單頁面做驗證,“所有登錄用戶都可以任意查看其他用戶的訂單”。

2015年9月17日,南方周末披露過蘇寧易購用戶信息泄露報道。而由“白帽子”提交給蘇寧易購(蘇寧易購系蘇寧旗下電商平臺)的系統漏洞多達270多條。

自2015年4月14日以來,21CN聚投訴平臺就陸續接到了網友投訴,目前被投訴了36次。該平臺顯示,蘇寧易購的客戶單筆被騙金額最高達8.3萬元。

在21CN上,最近一次被投訴的是北京的高女士。2015年11月18日,剛在蘇寧易購上買完東西,騙子便打來電話,準確地說出了她在蘇寧易購上的購物信息和個人信息。

對方自稱是蘇寧工作人員。“他們說工作人員不小心把我改成了批發商,每個月要扣500元,一直會扣12個月”,高女士說,她就按照對方的要求去銀行的自動取款機上操作,之後就被騙了6萬多元。

2015年12月25日,蘇寧易購回應南方周末記者稱,烏雲網上公布漏洞方案後,他們已經找程序員進行了緊急修複。

PermaLink: https://articles.zkiz.com/?id=178570
Next Page
ZKIZ Archives @ 2019