加入收藏

调查:京东信息泄露到底冤不冤?

2015-03-16 17:55:16 来源:百度

  【本文独家首发百度百家】

  文|王长胜 公众号科技观察:kejiguancha

  315晚会曝光个人信息泄露,已经让所有人感觉心惊肉跳。但京东网站的信息泄露绝对让你大吃一惊。

  近日,网络上爆出新闻“京东隐私泄露门升级:数百用户欲集体诉讼京东”,"京东用户隐私泄密门"事件已导致数百用户被骗,总金额数百万。用户们已经准备对京东发起集体诉讼。维权成功与否先不谈,出于对京东安全现状以及对信息泄漏问题的好奇,笔者重点对两个问题进行了探究,一是京东安全做的如何?二是诈骗分子的京东订单数据从何而来?

  京东安全做得如何呢?

  笔者特地去漏洞报告平台乌云WooYun.org看个究竟:(京东漏洞在乌云平台的地址:http://www.wooyun.org/corps/%E4%BA%AC%E4%B8%9C%E5%95%86%E5%9F%8E)

  京东存在的安全漏洞数量巨大

  从漏洞报告平台的统计来看,京东总共有146条安全漏洞的记录,是其他同类网站的4倍以上。

  京东针对安全问题的响应迟钝

  从漏洞报告平台的反馈来看,京东在安全漏洞的响应速度较为迟缓,用户评级只有两星。

  一个上市公司处理安全漏洞竟会如此低下?抱着怀疑的心态笔者随意点开了几个漏洞详情。

  以缺陷编号为WooYun-2014-86349的漏洞为例,漏洞是2014年12月8日(周一)通知到京东,但是京东到12月13日(周六)才开始响应和确认漏洞,整个响应过程整整花了6天时间。

  京东存在较多较为严重的安全漏洞

  对此,笔者专门咨询了一个信息安全行业内比较资深的同学小明(一看就知道是化名)。小明表示,京东一直以来对安全的重视程度就不够高,缺乏必要的自主漏洞发现机制和漏洞管理机制。以用户信息泄露为例,当前京东还存在多个严重的用户信息泄漏漏洞。

  在笔者的再三要求下,小明演示了三个比较严重的京东安全漏洞:

  漏洞揭秘一:如何获取任意用户购物车记录

  一个较为严重的购物车信息泄露漏洞。任意网站都可以构造一个特殊的恶意页面提供给用户访问,一旦有用户访问了该页面,恶意页面就可以读取当前用户购物车中的具体内容。

  此外,只要知道用户ID,哪怕是任意猜一个ID,只要这个ID存在,便可以获取这个用户的购物车购买记录。

  第一步:登录京东并在购物车内添加商品

  第二步:访问一个精心构造的恶意网站,该网站可以直接读取购物车中的商品

  最后,恶意网站可以把用户的信息保存下来,并售卖给黑色产业链。

  漏洞揭秘(二):用户手机号码、邮箱地址、京东昵称敏感信息直接暴露

  另外,笔者还了解到京东目前还存在其他很多安全漏洞,例如:

  1. 非HTTPS加密传输密码:密码没有加密传输,只要能够截获网络流量,即可获取修改密码的具体内容:

  2. 最简单的CSRF漏洞:第三方网站可以直接修改用户默认收货地址;

  从以上漏洞可以看出,京东在信息安全上缺乏有效的管理,用户信息的可用性、完整性、机密性没有得到有效保障。京东在安全架构和设计不合理,管理后台直接向Internet暴露;通信与网络安全缺乏保护措施,敏感数据传输没有采取加密的通信协议; 研发安全流程缺失,大量低级漏洞频发;人员安全意识低下,直接通过邮件分享明文运维密码。这些安全问题,正是导致信息泄露的一个直接原因。

  黑色市场上的京东数据从哪儿来的?

  笔者为了探究京东交易信息泄漏的环节,在网上寻找京东数据贩卖者,发现了众多QQ群:

  加入QQ群后与其中一个自称其拥有京东订单数据的卖家询问是否有数据:

  为了博取我的信任,给我了一批京东订单数据:

  从给我的数据有完整订单详情、金额、运单号、日期、订单支付方式、客户姓名、客户电话、客户地址,以这些信息要进行诈骗,简直轻而易举啊!

  数据到底怎么拿来的?

  根据与这个QQ卖家的聊天,从其聊天中即可得知,数据来自京东内部员工!

  黑色产业可以轻易渗透到京东内部员工,并且从内部员工处获取订单数据进行贩卖,那么一定反映了这家市值几百亿的公司,其内部员工管理有多么混乱,其内部的数据保护是多么脆弱? 这些都不得而知。

推荐阅读

激战湘江——中铁三局怀邵衡铁路9标施工侧记
激战湘江——中铁三局怀邵衡铁路9标施工侧记

  2015年9月8日,铁路总公司标准化管理现场观摩会在由中铁三局承建的怀邵衡铁路......更多>

晶科能源心虚发布“不实报道声明”
晶科能源心虚发布“不实报道声明”

  初冬的阴冷,无法阻挡晶科能源和供应商之间因合同纠纷而导致的矛盾不断升级。......更多>

今日热点

摩能国际三宗罪:产品虚假宣传且安全风险大 涉嫌传销
摩能国际三宗罪:产品虚假宣传且安全风险大 涉嫌传销
  《消费者报道》调查发现,摩能国际疑涉三宗罪:产品违规虚假宣称;潜在安全风险... 更多>
摩能国际三宗罪:产品虚假宣传且安全风险大 涉嫌传销
  《消费者报道》调查发现,摩能国际疑涉三宗罪:产品违规虚假宣称;潜在安全风险... 更多>
细节还需改进 路虎发现自动泊车体验
  路虎的全新发现车型放弃了原来有棱有角的外形和非承载式车身,定位上也和当年... 更多>
中央宣布复旦大学常务副校长包信和任中科大校长
  6月8日上午9点,中央宣布包信和院士接替万立骏,出任中国科学技术大学第十任校... 更多>
合肥蜀山区首设村党组织服务群众专项经费
   “有了专项经费,村里就可以有计划、有步骤地开展为民服务工作了。”得知蜀... 更多>
长丰草莓首批上市 大个头每公斤100元
  因天气晴好,今年长丰草莓提前与“吃货们”见面了。11月15日,记者在长丰县田... 更多>
衢州两公安局长和最牛的房警吴礼明结成腐败同盟赛过
  本文来源:雁北在线  衢州房警吴礼明无本贩毒 腹黑透顶 丧尽天良  衢州... 更多>