有網(wǎng)友驗證顯示，利用漏洞的確可抓取到較詳細的客戶信息。

    數(shù)萬用戶信息暴露于風(fēng)險中，當(dāng)當(dāng)網(wǎng)反饋稱，已修復(fù)漏洞

    新快報訊  日前，第三方安全問題反饋平臺“烏云漏洞”通過微博發(fā)布信息稱，當(dāng)當(dāng)網(wǎng)由于設(shè)計缺陷可導(dǎo)致用戶資料泄露，僅兩天，就已經(jīng)引來了數(shù)百名網(wǎng)友轉(zhuǎn)發(fā)及評論。雖然當(dāng)當(dāng)網(wǎng)在消息公布當(dāng)天就馬上對漏洞進行處理，并稱“技術(shù)人員在10分鐘內(nèi)立即進行了修復(fù)”，但一件10分鐘就能完成的事為何會鬧得滿城風(fēng)雨？“烏云漏洞”負(fù)責(zé)人方先生向新快報記者表示，公布當(dāng)當(dāng)網(wǎng)漏洞信息主要是因為此前當(dāng)當(dāng)網(wǎng)對漏洞毫不重視，因此平臺選擇公開信息借以引起當(dāng)當(dāng)網(wǎng)對安全問題的重視。

    漏洞可泄露數(shù)萬個用戶信息

    根據(jù)烏云漏洞發(fā)布的報告描述，用戶只要在登錄后，按步驟修改特定的網(wǎng)址就可得到全部當(dāng)當(dāng)網(wǎng)收件人的地址、姓名及聯(lián)系方式，報告者在詳情描述中稱漏洞是由于“某處設(shè)計不當(dāng)，不能過于詳細，太容易發(fā)現(xiàn)了”。

    漏洞公布后，有網(wǎng)友還親自驗證了該信息的真?zhèn)危�并證實當(dāng)當(dāng)網(wǎng)漏洞可以抓取到共4000多萬個地址信息。不少業(yè)內(nèi)人士也參與了討論，其中北京市活力天匯科技有限公司產(chǎn)品事業(yè)部總經(jīng)理史冊偉發(fā)微博表示“這個烏龍也太大了吧？傳值沒問題，但居然不判斷addressid的所有權(quán)是否屬于當(dāng)前用戶！”而金山網(wǎng)絡(luò)反病毒工程師李鐵軍則轉(zhuǎn)發(fā)微博表示，“有漏洞及時處理，天不會塌下來，不重視安全漏洞，不及時修補才是致命的。”

    一位長期從事編程工作的王先生告訴新快報記者，當(dāng)當(dāng)網(wǎng)這次出現(xiàn)的漏洞是屬于低級錯誤，“即使是一個業(yè)余愛好者也能通過復(fù)制地址發(fā)現(xiàn)問題。”他表示，一般這種用戶信息是不應(yīng)該出現(xiàn)在地址上的，而應(yīng)該加密，但可能由于加密耗費的時間成本不少，所以一般網(wǎng)站很少做到，“但沒想到像當(dāng)當(dāng)網(wǎng)這么大的電商也不對資料加密。”

    而接獲報告當(dāng)日，當(dāng)當(dāng)網(wǎng)稱已于當(dāng)天上午對漏洞進行了修復(fù)，并表示，經(jīng)過系統(tǒng)日志檢查，不存在大量用戶信息被泄露的情況。

    曾數(shù)次藐視漏洞報告

    事實上，當(dāng)當(dāng)網(wǎng)并不是第一次被發(fā)現(xiàn)有漏洞。據(jù)烏云漏洞負(fù)責(zé)人方先生介紹，此前最少兩次發(fā)現(xiàn)當(dāng)當(dāng)網(wǎng)的系統(tǒng)中存在漏洞，但經(jīng)過聯(lián)系，當(dāng)當(dāng)網(wǎng)并未給予任何回應(yīng)。方先生介紹說，在烏云漏洞上，一般報告是由網(wǎng)友提供的，而平臺會先把報告放在后臺，在確認(rèn)漏洞和通知電商處理后，才會公布報告，“一般漏洞報告都應(yīng)該在修復(fù)后才公布的”，方先生認(rèn)為這樣可以避免漏洞造成系統(tǒng)崩潰或泄漏信息。但事實上，并不是每個電商都重視漏洞，他表示，正是由于當(dāng)當(dāng)網(wǎng)對此前的漏洞報告一直沒有回應(yīng)，因此才選擇在漏洞修復(fù)前公開報告，并想借此引起當(dāng)當(dāng)網(wǎng)對安全問題的重視。

    記者在該平臺上看到，網(wǎng)站公布的每一個漏洞信息均有一個列表，上面清晰地注明漏洞類型、危害等級以及漏洞狀態(tài)等信息，而在當(dāng)當(dāng)網(wǎng)的漏洞狀態(tài)一欄顯示“未聯(lián)系到廠商或者廠商積極忽略”。

    記者通過平臺查閱發(fā)現(xiàn)，除這次公布的漏洞外，當(dāng)當(dāng)網(wǎng)還曾被發(fā)現(xiàn)“當(dāng)當(dāng)網(wǎng)收藏管理XSS漏洞”、“當(dāng)當(dāng)網(wǎng)多處存儲型XSS漏洞”、“當(dāng)當(dāng)網(wǎng)用戶隱私泄露漏洞”等，王先生告訴記者，第一個漏洞也是可讓“有心人”通過在地址欄插入應(yīng)用程序盜取用戶信息，“這種漏洞甚至能泄露用戶密碼等更為機密的信息。”而在該報告的回應(yīng)欄中也顯示“未能聯(lián)系到廠商或者廠商積極拒絕。”記者就此致電當(dāng)當(dāng)網(wǎng)公關(guān)部經(jīng)理葉小舟，詢問上述漏洞是否也已經(jīng)解決，但截至交稿，仍未收到任何回應(yīng)。

    鏈接京東商城、凡客誠品均曾現(xiàn)系統(tǒng)漏洞

    據(jù)方先生介紹，烏云漏洞是由一群對網(wǎng)絡(luò)安全感興趣的IT人于2010年7月建立，但建站才一年多，發(fā)現(xiàn)的漏洞已經(jīng)超過3000個了。通過平臺提供的公開信息可以發(fā)現(xiàn)，京東商城、163郵箱、搜狐微博等都曾經(jīng)有不同程度的系統(tǒng)漏洞，而凡客誠品也曾經(jīng)出現(xiàn)如當(dāng)當(dāng)網(wǎng)這種用戶信息泄露的程序漏洞。

    方先生認(rèn)為，在編程中出現(xiàn)漏洞是在所難免的，但現(xiàn)在問題是，有的電商對漏洞并不關(guān)心，“像當(dāng)當(dāng)網(wǎng)這種已上市的大型電商，在這方面履行責(zé)任實在做得不足夠。”而事實上，從記者查詢的資料看，目前我國仍沒建立一個程序漏洞監(jiān)控的第三方平臺，監(jiān)管仍存在大片空白。

    不過，有網(wǎng)友認(rèn)為，烏云漏洞這種反映問題的做法與“逼宮”無異，“當(dāng)當(dāng)網(wǎng)確實罪不可赦，但是烏云公開這個漏洞，無疑將該漏洞的危險放大N倍……這樣確實給了當(dāng)當(dāng)網(wǎng)壓力，但是也將幾千萬的用戶置于更大的風(fēng)險中。”

    中國政法大學(xué)知識產(chǎn)權(quán)中心研究員趙占領(lǐng)表示，目前，《中華人民共和國侵權(quán)責(zé)任法》對公民的隱私權(quán)有明確保護，而《刑法》也規(guī)定了泄漏個人信息可能要承擔(dān)刑事責(zé)任，消費者遇到上述情況時可以通過民事、刑事途徑維權(quán)，但關(guān)鍵是證據(jù)比較難收集，尤其像當(dāng)當(dāng)網(wǎng)這個情況，消費者可能還沒來得及保留證據(jù)、進行公證，當(dāng)當(dāng)網(wǎng)就已經(jīng)采取了技術(shù)應(yīng)對措施。以此來看，網(wǎng)絡(luò)漏洞的監(jiān)控與管理仍需靠電商的自覺，不過趙占領(lǐng)同時透露，目前工信部正在牽頭制定關(guān)于個人信息保護的首個國家標(biāo)準(zhǔn)，目前該標(biāo)準(zhǔn)還沒頒布。