中国IDC圈12月28日报道:互联网用户资料大规模泄露事件继续发酵。继人人网、天涯社区等社区类网站用户信息被公布之后,昨日(12月27日),电子商务网站京东商城也被指存在安全漏洞。
京东商城被指存安全漏洞
据国内安全问题反馈平台wooyun(乌云)称,京东商城存在用户权限控制不当漏洞,会导致用户资料完全泄漏,易被第三方获取。据乌云漏洞报告平台官方微博显示,该平台为一个位于厂商和安全研究者之间的安全问题反馈平台。
根据wooyun平台上的漏洞描述显示,京东商城在某些业务上存在用户权限控制不当的漏洞,导致任意用户登录系统后,都可以正常访问到所有用户的信息,包括:姓名、地址、电话、Email等。
就在京东商城被指存在安全漏洞之后,有用户反映,其在京东商城的账户被京东商城告知已经不存在,多次使用注册邮箱登录均显示无此用户。目前并不知道具体原因以及有多少用户存在上述情况。京东商城方面也未对此发表任何言论。
针对信息漏洞,京东商城信息部副总裁李大学向记者回应称:截至目前,公司没有对外证实任何漏洞的存在。公司本着对用户负责的态度,正在核查漏洞。自漏洞发布之后,公司正积极地与漏洞的发布者联系,期望建立一个安全的网购环境。
当当网也曾陷“泄露门”
事实上,京东商城并非第一家被指存在安全漏洞的电子商务网站,今年11月,京东商城的竞争对手当当网也被wooyun爆出由于设计缺陷可导致用户资料泄露。
乌云此前针对当当网漏洞发布的报告描述,用户只要在登录后,按步骤修改特定的网址就可得到全部当当网收件人的地址、姓名及联系方式,报告者在详情描述中称漏洞是由于“某处设计不当,不能过于详细,太容易发现了”。
网络安全组织TitleOWAS成员殷先生对《每日经济新闻》记者表示,当当网和京东商城对这一问题属于代码设计的漏洞问题导致用户信息存在被泄露的风险。
“程序员在代码设计中往往认为所有的数据对于他而言是透明的,而忘记了针对普通用户需要在代码上设置更加严格的限制。”殷先生表示,上述操作就导致了一个普通的用户或许可以通过某种特定代码获知其他用户的信息,从而导致信息外泄。不过,殷先生表示,这种信息的获取需要一定的技术知识。
而对于上述漏洞,业内专家表示,就跟微软的安全漏洞一样,只需要打上补丁就可以修复,并不会造成用户信息的泄露,不过,如果程序员不及时修补漏洞的话,则可能造成大规模的信息外泄。
法律专家赵占领表示,目前,《中华人民共和国侵权责任法》明确保护公民的隐私权,《刑法》也规定了泄露个人信息可能要承担刑事责任,用户可以通过民事、刑事途径维权,但关键是证据比较难收集。
赵占领认为,网络漏洞的监控与管理仍需靠电商的自觉,据他透露,目前工信部正在牵头制定关于个人信息保护的首个国家标准,目前该标准还没颁布。
网易邮箱存后门说法被否认
值得一提的是,昨日,乌云在微博上爆料,网易163邮箱在找回密码页面莫名绑定陌生的QQ号码,怀疑163邮箱账号被大面积种植后门。随后有网友表示已经中招,怀疑为被攻击。
对此,网易公司表示,目前出现的涉及网易邮箱被种植后门的说法为谣言。网易当前的系统程序一切正常,没有后台漏洞,账号信息也没有出现泄露情况。网易对于发布未经证实的谣言的行为表示遗憾和谴责。
网易相关人士指出,目前网易通行证8亿注册用户及4.3亿网易邮箱用户信息经过加密保存,是安全和无法破解的。网易用户还可以选择将军令、密保卡、电话密保、手机密保等密保措施保障自身的信息安全。截至目前已经有2000万网易用户选择了将军令保障信息安全,另外有4000万用户选择了密保卡。