调查:京东信息泄露到底冤不冤?

摘要 : 近日,网络上爆出新闻“京东隐私泄露门升级:数百用户欲集体诉讼京东”,"京东用户隐私泄密门"事件,到底真相如何?

【本文独家首发百度百家】

文|王长胜  公众号科技观察:kejiguancha   

315晚会曝光个人信息泄露,已经让所有人感觉心惊肉跳。但京东网站的信息泄露绝对让你大吃一惊。

近日,网络上爆出新闻“京东隐私泄露门升级:数百用户欲集体诉讼京东”,"京东用户隐私泄密门"事件已导致数百用户被骗,总金额数百万。用户们已经准备对京东发起集体诉讼。维权成功与否先不谈,出于对京东安全现状以及对信息泄漏问题的好奇,笔者重点对两个问题进行了探究,一是京东安全做的如何?二是诈骗分子的京东订单数据从何而来?

京东安全做得如何呢?

笔者特地去漏洞报告平台乌云WooYun.org看个究竟:(京东漏洞在乌云平台的地址:http://www.wooyun.org/corps/%E4%BA%AC%E4%B8%9C%E5%95%86%E5%9F%8E)

京东存在的安全漏洞数量巨大

从漏洞报告平台的统计来看,京东总共有146条安全漏洞的记录,是其他同类网站的4倍以上。

京东针对安全问题的响应迟钝

从漏洞报告平台的反馈来看,京东在安全漏洞的响应速度较为迟缓,用户评级只有两星。

一个上市公司处理安全漏洞竟会如此低下?抱着怀疑的心态笔者随意点开了几个漏洞详情。

以缺陷编号为WooYun-2014-86349的漏洞为例,漏洞是2014年12月8日(周一)通知到京东,但是京东到12月13日(周六)才开始响应和确认漏洞,整个响应过程整整花了6天时间。

京东存在较多较为严重的安全漏洞

对此,笔者专门咨询了一个信息安全行业内比较资深的同学小明(一看就知道是化名)。小明表示,京东一直以来对安全的重视程度就不够高,缺乏必要的自主漏洞发现机制和漏洞管理机制。以用户信息泄露为例,当前京东还存在多个严重的用户信息泄漏漏洞。

在笔者的再三要求下,小明演示了三个比较严重的京东安全漏洞:

漏洞揭秘一:如何获取任意用户购物车记录

一个较为严重的购物车信息泄露漏洞。任意网站都可以构造一个特殊的恶意页面提供给用户访问,一旦有用户访问了该页面,恶意页面就可以读取当前用户购物车中的具体内容。

此外,只要知道用户ID,哪怕是任意猜一个ID,只要这个ID存在,便可以获取这个用户的购物车购买记录。

第一步:登录京东并在购物车内添加商品

第二步:访问一个精心构造的恶意网站,该网站可以直接读取购物车中的商品

最后,恶意网站可以把用户的信息保存下来,并售卖给黑色产业链。

漏洞揭秘(二):用户手机号码、邮箱地址、京东昵称敏感信息直接暴露

另外,笔者还了解到京东目前还存在其他很多安全漏洞,例如:

1. 非HTTPS加密传输密码:密码没有加密传输,只要能够截获网络流量,即可获取修改密码的具体内容:

2. 最简单的CSRF漏洞:第三方网站可以直接修改用户默认收货地址;

从以上漏洞可以看出,京东在信息安全上缺乏有效的管理,用户信息的可用性、完整性、机密性没有得到有效保障。京东在安全架构和设计不合理,管理后台直接向Internet暴露;通信与网络安全缺乏保护措施,敏感数据传输没有采取加密的通信协议; 研发安全流程缺失,大量低级漏洞频发;人员安全意识低下,直接通过邮件分享明文运维密码。这些安全问题,正是导致信息泄露的一个直接原因。

黑色市场上的京东数据从哪儿来的?

笔者为了探究京东交易信息泄漏的环节,在网上寻找京东数据贩卖者,发现了众多QQ群:

加入QQ群后与其中一个自称其拥有京东订单数据的卖家询问是否有数据:

为了博取我的信任,给我了一批京东订单数据:

从给我的数据有完整订单详情、金额、运单号、日期、订单支付方式、客户姓名、客户电话、客户地址,以这些信息要进行诈骗,简直轻而易举啊!

数据到底怎么拿来的?

根据与这个QQ卖家的聊天,从其聊天中即可得知,数据来自京东内部员工!

黑色产业可以轻易渗透到京东内部员工,并且从内部员工处获取订单数据进行贩卖,那么一定反映了这家市值几百亿的公司,其内部员工管理有多么混乱,其内部的数据保护是多么脆弱? 这些都不得而知。

Leave a Reply