央視網|中國網絡電視臺|網站地圖
客服設為首頁
登錄

中國網絡電視臺 > 新聞臺 > 法治圖文 >

噹噹被曝嚴重系統漏洞 4000萬用戶信息可輕易竊取

發佈時間:2011年11月17日 11:23 | 進入復興論壇 | 來源:南方日報 | 手機看視頻


評分
意見反饋 意見反饋 頂 踩 收藏 收藏
channelId 1 1 1
壟!-- /8962/web_cntv/dicengye_huazhonghua01 -->

更多 今日話題

壟!-- /8962/web_cntv/dicengye_huazhonghua02 -->

更多 24小時排行榜

壟!-- /8962/web_cntv/dicengye_huazhonghua03 -->
    

    知名網絡安全平臺發佈消息稱,國內著名的電子商務網站噹噹網存在嚴重系統漏洞,其4000萬用戶資料可被網友輕易地竊取。隨後噹噹網方面作出回應,稱該漏洞經發現後第一時間已修復。

    網友“張永生”在微博上透露,經他個人測試,個人用戶輕易就可以抓取到總共4000多萬個噹噹用戶的姓名、聯絡方式、地址等個人詳細資料。而網友“單eye皮”更是表示,經測試噹噹網所洩露的準確的用戶個人資料數量達:41637995 條,不少作為噹噹用戶的網友在得知這個消息後,通過漏洞赤裸裸地看到自己的個人信息暴露在公眾之下,都主動進入噹噹網將個人信息刪除。網友“hntangwei”更是在微博中調侃噹噹網和噹噹網的CEO李國慶:“作為前噹噹用戶,我能不能要求把自己的信息刪除掉?請噹噹網和李國慶為用戶開發一個取消註冊功能!”

    第三方安全問題反饋平臺烏雲漏洞平臺透過其官方微博發佈的信息顯示,噹噹網存在著設計缺陷或邏輯方面的錯誤,烏雲漏洞平臺提供了噹噹網漏洞的詳細説明和漏洞證明,別有用心的用戶可以輕易查看在噹噹網購買産品的用戶的姓名、聯絡方式、地址等詳細資料,大量用戶的資料或因此被洩露。

    值得注意的是,烏雲-漏洞報告平臺負責人通過微博平臺告訴南方日報,他們發現噹噹網系統漏洞後,第一時間通過線上線下方式告示噹噹網。但是面對此重大系統漏洞問題,噹噹網同樣選擇回避。直到網友信息被大量泄漏,系統漏洞被直接公開後,才選擇修復。“我們有理由相信,噹噹網明知其千萬用戶隱私信息被竊取,而選擇寧願不作為。”

    噹噹網“倉促”冷卻泄密事件

    據烏雲漏洞平臺介紹,噹噹網在得知其存在如此重大的信息漏洞後,第一時間採用的是屏蔽網友訪問的方法來進行修復,其手法也是非常“業餘”。從專業的安全領域專家來看,問題遠未得到應有的重視,而事件的主角噹噹網方面更是有逃避責任之嫌。

    國內某黑客組織負責人黃先生在接受南方日報記者採訪時表示,此次噹噹網所洩露的用戶資料的嚴重性,其實已經可以媲美今年曾經一度讓索尼頻臨危機、甚至讓CEO下臺的黑客入侵盜取資料事件。今年4月,索尼宣佈遭黑客侵入索尼公司位於美國聖迭戈市的數據服務器,竊取了索尼PS3和音樂、動畫雲服務網絡Qriocity用戶登錄的個人信息,包括姓名、住址、生日、登錄名和密碼等,受影響用戶多達7700萬人,涉及57個國家和地區,這起最多可能導致約1億人份的個人信息外泄,曾一度讓索尼被迫停止在線遊戲服務的個人信息遭竊事件堪稱迄今為止規模最大的一次。

    相對比全球矚目的索尼洩露個人信息事件,噹噹網方面的回應和處理則要顯得“輕描淡寫”。“如此草率的處理方式,其實一方面體現了噹噹網對用戶資料洩露的問題的不夠重視,罔顧用戶利益。另外一方面,可能也是噹噹網希望能夠迅速把事件通過公關手段給‘冷卻’下來,避免遭到應有的懲罰。”黃先生對噹噹網的處理方式非常不滿。“噹噹網至少應該公佈具體遭洩露個人信息的用戶數量,同時對所有遭洩露個人信息的用戶提供賠償!”黃先生最後補充道。

    噹噹網漏洞洩露用戶信息的事件除了應當承擔用戶的賠償損失外,有法律界人士也指出,噹噹網同時還有可能觸及了國家在互聯網管理和個人隱私方面的相關法律法規。據記者了解,在今年8月,工信部就對《互聯網信息服務管理規定》開始公開徵求意見。其中,對互聯網信息服務提供者收集個人信息行為作出了明確的規定。《互聯網信息服務管理規定》第十三條特別指出,互聯網信息服務提供者應當妥善保管用戶個人信息。發生網絡安全事件造成或者可能造成用戶個人信息洩露的,相關互聯網信息服務提供者應當立即採取補救措施;造成或者可能造成嚴重後果的,應當立即向工業和信息化部及相關省、自治區、直轄市通信管理局報告,並配合相關部門進行調查處理。

    而就在剛結束的十一屆全國人大常委會第二十三次會議上,也表決通過關於修改居民身份證法的決定,修改後的居民身份證法加大了對洩露公民個人信息行為的處罰力度。洩露公民個人信息,不僅要面臨刑事處罰,還要承擔經濟賠償等民事責任。

    這也就是説,如果確定是噹噹網洩露了公民個人信息,公民可依法提起民事訴訟,要求賠償。面對如此嚴重的法律後果,也不難理解噹噹網為何公關“倉促”冷卻事件了。

    國內個人信息安全存在隱患

    “從專業安全領域來看,這次噹噹網泄漏用戶資料的事件可謂非常嚴重。”金山網絡反病毒工程師李鐵軍在接受南方日報記者採訪時對這次事件發表了自己的看法,“從問題曝光之後,在安全領域的圈內引起了極大的反響,有網友利用漏洞輕易獲取了噹噹網上超過4000萬用戶的詳細個人信息,雖然噹噹網方面宣稱是因為新系統上線導致的短時間內的漏洞,但是其實從技術上很難判斷這個漏洞是最近才有還是一直存在的,總共到底有多少用戶資料被泄漏。”李鐵軍認為噹噹網的處理説法並不夠説服力,更多的是用來應付普羅大眾的公關舉措。

    “通過噹噹網這個事件,應該敲響對安全領域特別是個人信息安全的警鐘。”李鐵軍特別強調了每個用戶應該重視自己的信息安全。“中國消費者安全意識還過於薄弱,普遍的現象是如果自己的信息在身邊被泄漏的話,可能還會比較緊張,但是通過第三方,如網絡這些渠道的泄漏,則顯得無所謂,但是危害其實非常大!”近日就有媒體報道了個人資料洩露造成損失的案例:一位遠在上海的消費者從電子商務網站上購買物品後選擇了貨到付款方式,結果沒有想到所購買的真貨還沒有送到,騙子已經捷足先登,搶先於正規的電子商務網站送貨上門並領走貨款,用戶和電子商務網站多番交涉後才知道原來中間被騙。這個案例的最大根源就是不法分子利用非法手段盜取了消費者的購物信息,然後再利用網上購物需要進行商品配送的特點對消費者進行了詐騙。(記者 葉丹)

熱詞:

  • 噹噹網
  • 系統漏洞
  • 用戶資料
  • Qriocity