【加拿大都市網】網絡訂購商品是不是要擔心信息全都泄露呢?如果在沃爾瑪網絡商城(Walmart.ca)訂了東西後,可以發現客戶的姓名、運送和帳單地址、訂單日期、付款方式以及所使用的信用卡的最後四位數字都完整展示出來,要輕鬆泄漏個人機密信息非常容易。
CTV報道,無論是在安省訂購一台1,500元的筆記本電腦,或在薩省訂一台700元的單車,或在卑詩省買嬰兒用品,結果都是一樣,每個客戶的資料都已經攤在陽光下。
巴蒂亞(Sanjay Bhatia)是沃爾瑪的網絡訂購客戶,他偶然發現該公司的網購系統存在着一位安全專家所說的高度敏感數據暴露漏洞,從事IT工作的他覺得這太離譜了。「這是一個巨大的漏洞。我被嚇壞了,非常生氣,因為,我的東西都在網上。沒有人希望自己的訊息就那樣擺在那裡讓人看。」
CTV通過巴蒂亞的說明,發現果然能夠輕鬆地在沃爾瑪網站上複製一些步驟而能調集到全國大量的客戶訂單,但在亞馬遜的網站上(Amazon.ca)嘗試了類似的步驟,卻沒有客戶敏感信息被曝光。
Walmart.ca上顯示的信息包括完整的客戶名稱、帳單郵寄地址,無論產品是送貨到家庭地址還是沃爾瑪在店內取貨。還可以查看訂單是否使用Visa,Mastercard,Amex或PayPal付款。
CTV向沃爾瑪取得聯繫後,可用於訪問個人信息的網頁已重定向到用於網絡購物的「聯繫我們」頁面。
但是巴蒂亞發現仍然可以通過Walmart.ca上的另一個相關網頁訪問客戶信息,CTV查詢後,該頁面隨後也被禁用。
沃爾瑪發言人格拉希尼克(Adam Grachnik)在一封電子郵件聲明中說:「我們非常重視客戶隱私,並制定了許多安全協議來保護它。今天這個問題引起我們的注意,出於謹慎考慮,我們立即禁用了該網頁。我們正在進一步調查此事。」
網絡安全專家史蒂文斯(Yuan Stevens)認為這種數據泄漏的安全漏洞並不罕見,已出現在Open Web Application Security Project(OWASP)2017的十大常見網站安全風險列表中。
史蒂文斯也是漏洞賞金計劃的專家(公司會激勵人們發現系統中的漏洞),史蒂文斯指出,沃爾瑪不太激勵道德黑客為公司尋找安全漏洞,依照該公司規定,如果有人發現漏洞,「可能有資格獲得賞」。相比之下,亞馬遜的激勵措施很明確,根據發現的漏洞的嚴重程度,支付的費用從100元到15,000元不等。
據openbugbounty.org稱,2017年有人在沃爾瑪的墨西哥網站上發現漏洞時,公司花了6個月的時間對其進行修復。黑客公司Hackerone的數據顯示,亞馬遜的響應和解決問題的速度快多了,平均時間為22天。
史蒂文斯認為沃爾瑪的對網絡工程的重視度遠不如亞馬遜,它們不激勵民眾發現漏洞,又要花很長時間才修補好安全問題。在應用程序安全性測試的immuniweb.com上,沃爾瑪評價為B,得分在60到69之間,相比之下,Amazon.ca的得分為A,或者得分在90到99之間。
史蒂文斯說,如果網站上存在多個弱點,黑客可以透過漏洞,從而給公司或網站用戶帶來更大的風險,這些風險可能包括身份欺詐,欺騙個人的身體心理或造成財務傷害。
圖:CTV
v01
(文章來源:星島綜合)
