12月28日,互联网用户资料大规模泄露事件进一步升级,在天涯社区4000万网站用户密码被泄露后,昨天京东商城被指存安全漏洞,会导致用户资料泄露。京东商城表示没有对外证实漏洞存在,但正在核查漏洞。
京东商城被曝存漏洞
据国内安全问题反馈平台wooyun(乌云)称,京东商城存在用户权限控制不当漏洞,会导致用户资料完全泄漏,易被第三方获取。据乌云漏洞报告平台官方微博显示,该平台为一个位于厂商和安全研究者之间的安全问题反馈平台。
根据wooyun平台上的漏洞描述显示,京东商城在某些业务上存在用户权限控制不当的漏洞,导致任意用户登录系统后,都可以正常访问到所有用户的信息,包括:姓名、地址、电话、Email等。
就在京东商城被指存在安全漏洞之后,有用户反映,其在京东商城的账户被京东商城告知已经不存在,多次使用注册邮箱登录均显示无此用户。目前并不知道具体原因以及有多少用户存在上述情况。京东商城方面也未对此发表任何言论。
针对信息漏洞,京东商城信息部副总裁李大学向记者回应称:截至目前,公司没有对外证实任何漏洞的存在。公司本着对用户负责的态度,正在核查漏洞。自漏洞发布之后,公司正积极地与漏洞的发布者联系,期望建立一个安全的网购环境。
当当网也曾因设计缺陷泄露用户资料
事实上,京东商城并非第一家被指存在安全漏洞的电子商务网站,今年11月,京东商城的竞争对手当当网也被wooyun爆出由于设计缺陷可导致用户资料泄露。
乌云此前针对当当网漏洞发布的报告描述,用户只要在登录后,按步骤修改特定的网址就可得到全部当当网收件人的地址、姓名及联系方式,报告者在详情描述中称漏洞是由于“某处设计不当,不能过于详细,太容易发现了”.
网络安全组织TitleOWAS成员殷先生对记者表示,当当网和京东商城对这一问题属于代码设计的漏洞问题导致用户信息存在被泄露的风险。
“程序员在代码设计中往往认为所有的数据对于他而言是透明的,而忘记了针对普通用户需要在代码上设置更加严格的限制。”殷先生表示,上述操作就导致了一个普通的用户或许可以通过某种特定代码获知其他用户的信息,从而导致信息外泄。不过,殷先生表示,这种信息的获取需要一定的技术知识。
而对于上述漏洞,业内专家表示,就跟微软的安全漏洞一样,只需要打上补丁就可以修复,并不会造成用户信息的泄露,不过,如果程序员不及时修补漏洞的话,则可能造成大规模的信息外泄。
法律专家赵占领表示,目前,《中华人民共和国侵权责任法》明确保护公民的隐私权,《刑法》也规定了泄露个人信息可能要承担刑事责任,用户可以通过民事、刑事途径维权,但关键是证据比较难收集。
赵占领认为,网络漏洞的监控与管理仍需靠电商的自觉,据他透露,目前工信部正在牵头制定关于个人信息保护的首个国家标准,目前该标准还没颁布。
此次网络大规模泄密可能还会产生其他网站泄密事件,用户尽量即时更改密码,避免产生损失或者将损失降到最低。
