?
近日,加拿大Walmart.ca網站出現了bug,部分用戶反映訂單的詳細信息全部在網站顯示了出來,信息泄露風險極大。
?
在Walmart.ca網站上我們可以看到一些訂單示例,安大略省一臺價值1500美元的筆記本電腦、薩斯喀徹溫省一輛價值700美元的自行車和不列顛哥倫比亞省價值1100多美元的嬰兒用品訂單上,一位用戶的姓名、運輸和賬單地址、訂單日期、付款方式以及所使用的信用卡的最后四位數都被顯示了出來。
?
一名從事IT工作的用戶Bhatia發現了這一漏洞,并就此問題與加拿大沃爾瑪(Walmart Canada)聯系,但均以失敗告終。于是他與CTVNews.ca取得聯系,并向CTVNews.ca演示了,當他登錄到自己的Walmart.ca帳戶后如何通過常規網頁訪問屬于其他客戶的信息和訂單。并且這些步驟可以被輕松復制并在全國范圍內調用大量的客戶訂單。
?
據悉,暴露的信息包括完整的客戶名稱、帳單郵寄地址、產品是送貨到家庭地址還是沃爾瑪店內提貨地點,還能查看訂單是否使用Visa、Mastercard、Amex或PayPal付款。
?
CTVNews.ca就該問題聯系了沃爾瑪加拿大公司,這引起了沃爾瑪的注意。沃爾瑪加拿大公司發言人Adam Grachnik在一封電子郵件聲明中說:“我們非常重視客戶隱私,并制定了許多安全協議來保護它。今天這一問題引起了我們的注意,并且出于謹慎考慮我們立即禁用了該網頁。我們正在進一步調查此事。”
?
與亞馬遜相比,沃爾瑪網站安全性能不高
?
網絡安全專家Stevens在電話采訪中稱,此次沃爾瑪出現的情況是造成數據泄露的高度敏感的例子。
?
據悉,CTVNews.ca在Amazon.ca上嘗試了類似的步驟,但沒有暴露用戶的任何敏感信息。顯然亞馬遜在保護用戶信息方面做得更多也更好。在進行自動Web應用程序安全性測試的immuniweb.com網站上,Walmart.ca的得分為B,分數在60到69之間,相比之下,Amazon.ca的得分為A,得分在90到99之間。
?
沃爾瑪有關政策規定,?沃爾瑪采取“漏洞披露的激勵政策”,但可酌情決定個人是否有資格獲得獎金補償。相比之下,亞馬遜的激勵措施很明確,根據發現的漏洞的嚴重程度,支付的費用從100美元到15000美元不等。還是漏洞賞金計劃專家的Stevens指出,盡管沃爾瑪公司有“漏洞披露政策”,沃爾瑪也不會激勵黑客尋找漏洞,因為這將造成網站被發現非常多的漏洞。
?
此外,相比亞馬遜,沃爾瑪處理網站漏洞的周期也非常漫長。據openbugbounty.org數據顯示,2017年有人在沃爾瑪墨西哥網站上發現漏洞,沃爾瑪公司花了6個月的時間對其進行修復。根據Hackerone的數據,Amazon響應和解決問題的平均時間為22天。
?
對于沃爾瑪來說,認真對待和解決網站安全問題非常重要,這不僅是因為沃爾瑪有義務,還因為它給客戶帶來了風險。
?
相關文章
