面对"泄密门"，京东这回上错了锁

http://www.e23.cn2015-03-20搜狐媒体平台

　　在电子商务高度发达的今天，网购已经成为人们日常生活必不可少的一部分。殊不知，在网购便利生活的同时，随之产生的安全隐患却是触目惊心的。这些潜在的威胁，不但防不胜防，竟还往往来自深得网民信赖的大站点。

　　信息失窃，用户诉求却遭忽视

　　最近，有关“京东用户信息泄密”的话题热度颇高：在百度上搜索"京东泄密"的关键词，结果高达170多万个;而在新浪微博上搜索，目前也有接近10万条相关讨论。本着探寻事实真相的原则，小内加入了一个名为“京东泄密百人维权”的QQ群以进一步了解真相。

　　根据群内网友的告知，有骗子利用京东的安全隐患获取了他们的用户信息并在购物后极短的时间内回电实施诈骗。许多人甚至在短短几分钟之内就被骗走数十万，群里网友的损失累计已达数百万之多。

　　由于对方已经窃取了隐私信息，所以这样的诈骗极难识破，而且购物后网友的反应时间很短，稍不留神银行卡里的钱就立即被全额划走，非常危险。

　　一时间，网络上人心惶惶，但京东方面却未能给出一个令人信服的解释。不少网友尝试拨打京东的客服热线讨说法，但结果不是根本打不通就是“请稍等”后再无下文。

　　安全水平竟敌不过初中生

　　在著名的白帽平台乌云(http://www.wooyun.org/corps/%E4%BA%AC%E4%B8%9C%E5%95%86%E5%9F%8E)，京东总共有146条安全漏洞的记录，竟是其他同类电商网站的4倍以上。从漏洞报告的反馈来看，京东在安全漏洞的响应速度也比较迟缓，用户评级只有两星。而根据历史记录，早在2011年12月，京东就已经存在导致用户资料泄露的漏洞了。

　　既然京东的安全漏洞数量多、反馈慢、持续久，那严重的泄密问题是不是早有发生呢?答案是显然的。2012年初便有过两起网友用户被盗用的案件发生，但京东当时均未作出正面回应。2012年底还是发生了件令人哭笑不得的案件，最高学历仅为初中的“黑客四人组”竟成功利用漏洞盗取了大量京东用户信息来非法获益。

　　那么，京东的这些安全漏洞，真的破解so easy?小内怀着疑惑，向身旁的安全达人山哥进行了一番咨询。

　　绝大多数用户很快就上当，是因为来电的骗子掌握了所有的购物情况。那么，骗子们是如何窃取这些信息的?山哥曰：黑客们其实是构造了一个特殊的恶意页面，一旦有人访问了该页面，他们就可以获取该用户购物车中的具体内容。然后，只要再知道用户ID，哪怕是任意猜一个ID，他们便可以得到这个用户的网购记录。最后，黑客会把用户的信息保存下来，再进行售卖。

　　此外，那为什么很多用户会被盗用、盗刷呢?山哥说：由于京东未使用HTTPS加密来传输密码，只要黑客能够截获网络流量，他们即可获取甚至修改密码的具体内容。非常意外的是，京东竟还存在一个非常简单的CSRF漏洞，通过它黑客可以直接修改用户默认收货地址。