近日,乌云网上公布了苏宁易购的信息泄露漏洞,漏洞的类型为用户敏感资料大量泄露。
原来一位名为“路人甲”的白帽子在苏宁的实体店里购买了几件电器后不久就多次接到了400开头的诈骗电话。白帽子骗子不堪电话骚扰,挖出了苏宁信息泄露的漏洞。
根据“路人甲”的描述,他在苏宁实体店购买产品后,店员没有经过其同意便把他的个人资料及订单注册上传到了苏宁易购上。
“路人甲”用
手机找回了密码,登陆后就出现了他的产品订单。订单显示,他在今年9月14日和9月17日分别购买了一台
洗衣机和
冰箱。
通过自己的订单信息,白帽子简单地修改了网址后面的数字参数后,就找到了多个客户信息。这些客户的信息包括订单时间、收货人姓名、电话以及收货地址、发票信息等。
11月4日下午,厂商苏宁回应了“路人甲”的信息泄露漏洞状态。苏宁确认漏洞的危害等级为“高”。
乌云网平台安全专家王彪告诉南方周末记者,这个属于订单遍历(指全部的用户信息都可以查到/编者注)问题。苏宁没有对订单页面做验证,“所有登录用户都可以任意查看其他用户的订单”。
2015年9月17日,南方周末披露过苏宁易购用户信息泄露报道。而由“白帽子”提交给苏宁易购(苏宁易购系苏宁旗下电商平台)的系统漏洞多达270多条。
自2015年4月14日以来,21CN聚投诉平台就陆续接到了网友投诉,目前被投诉了36次。该平台显示,苏宁易购的客户单笔被骗金额最高达8.3万元。
在21CN上,最近一次被投诉的是北京的高女士。2015年11月18日,刚在苏宁易购上买完东西,骗子便打来电话,准确地说出了她在苏宁易购上的购物信息和个人信息。
对方自称是苏宁工作人员。“他们说工作人员不小心把我改成了批发商,每个月要扣500元,一直会扣12个月”,高女士说,她就按照对方的要求去银行的自动取款机上操作,之后就被骗了6万多元。
2015年12月25日,苏宁易购回应南方周末记者称,乌云网上公布漏洞方案后,他们已经找程序员进行了紧急修复。
