Walmart.ca用戶信息恐遭泄露

?

近日，加拿大Walmart.ca網站出現(xiàn)了bug，部分用戶反映訂單的詳細信息全部在網站顯示了出來，信息泄露風險極大。

?

在Walmart.ca網站上我們可以看到一些訂單示例，安大略省一臺價值1500美元的筆記本電腦、薩斯喀徹溫省一輛價值700美元的自行車和不列顛哥倫比亞省價值1100多美元的嬰兒用品訂單上，一位用戶的姓名、運輸和賬單地址、訂單日期、付款方式以及所使用的信用卡的最后四位數(shù)都被顯示了出來。

?

一名從事IT工作的用戶Bhatia發(fā)現(xiàn)了這一漏洞，并就此問題與加拿大沃爾瑪（Walmart Canada）聯(lián)系，但均以失敗告終。于是他與CTVNews.ca取得聯(lián)系，并向CTVNews.ca演示了，當他登錄到自己的Walmart.ca帳戶后如何通過常規(guī)網頁訪問屬于其他客戶的信息和訂單。并且這些步驟可以被輕松復制并在全國范圍內調用大量的客戶訂單。

?

據(jù)悉，暴露的信息包括完整的客戶名稱、帳單郵寄地址、產品是送貨到家庭地址還是沃爾瑪?shù)陜忍嶝浀攸c，還能查看訂單是否使用Visa、Mastercard、Amex或PayPal付款。

?

CTVNews.ca就該問題聯(lián)系了沃爾瑪加拿大公司，這引起了沃爾瑪?shù)淖⒁狻Ｎ譅柆敿幽么蠊景l(fā)言人Adam Grachnik在一封電子郵件聲明中說：“我們非常重視客戶隱私，并制定了許多安全協(xié)議來保護它。今天這一問題引起了我們的注意，并且出于謹慎考慮我們立即禁用了該網頁。我們正在進一步調查此事。”

?

與亞馬遜相比，沃爾瑪網站安全性能不高

?

網絡安全專家Stevens在電話采訪中稱，此次沃爾瑪出現(xiàn)的情況是造成數(shù)據(jù)泄露的高度敏感的例子。

?

據(jù)悉，CTVNews.ca在Amazon.ca上嘗試了類似的步驟，但沒有暴露用戶的任何敏感信息。顯然亞馬遜在保護用戶信息方面做得更多也更好。在進行自動Web應用程序安全性測試的immuniweb.com網站上，Walmart.ca的得分為B，分數(shù)在60到69之間，相比之下，Amazon.ca的得分為A，得分在90到99之間。

?

沃爾瑪有關政策規(guī)定，?沃爾瑪采取“漏洞披露的激勵政策”，但可酌情決定個人是否有資格獲得獎金補償。相比之下，亞馬遜的激勵措施很明確，根據(jù)發(fā)現(xiàn)的漏洞的嚴重程度，支付的費用從100美元到15000美元不等。還是漏洞賞金計劃專家的Stevens指出，盡管沃爾瑪公司有“漏洞披露政策”，沃爾瑪也不會激勵黑客尋找漏洞，因為這將造成網站被發(fā)現(xiàn)非常多的漏洞。

?

此外，相比亞馬遜，沃爾瑪處理網站漏洞的周期也非常漫長。據(jù)openbugbounty.org數(shù)據(jù)顯示，2017年有人在沃爾瑪墨西哥網站上發(fā)現(xiàn)漏洞，沃爾瑪公司花了6個月的時間對其進行修復。根據(jù)Hackerone的數(shù)據(jù)，Amazon響應和解決問題的平均時間為22天。

?

對于沃爾瑪來說，認真對待和解決網站安全問題非常重要，這不僅是因為沃爾瑪有義務，還因為它給客戶帶來了風險。

?