苏宁用户信息泄露漏洞被证实

 阅读量 | 时间:2015年12月26日 14:35
苏宁用户信息泄露漏洞被证实 移动互联网

  近日,乌云网上公布了苏宁易购的信息泄露漏洞,漏洞的类型为用户敏感资料大量泄露。

原来一位名为“路人甲”的白帽子(识别并公布系统安全漏洞但不恶意利用的网络高手/编者注)在苏宁的实体店里购买了几件电器后不久就多次接到了400开头的诈骗电话。白帽子骗子不堪电话骚扰,挖出了苏宁信息泄露的漏洞。

根据“路人甲”的描述,他在苏宁实体店购买产品后,店员没有经过其同意便把他的个人资料及订单注册上传到了苏宁易购上。

“路人甲”用手机找回了密码,登陆后就出现了他的产品订单。订单显示,他在今年9月14日和9月17日分别购买了一台洗衣机和冰箱。

通过自己的订单信息,白帽子简单地修改了网址后面的数字参数后,就找到了多个客户信息。这些客户的信息包括订单时间、收货人姓名、电话以及收货地址、发票信息等。

11月4日下午,厂商苏宁回应了“路人甲”的信息泄露漏洞状态。苏宁确认漏洞的危害等级为“高”。

乌云网平台安全专家王彪告诉南方周末记者,这个属于订单遍历(指全