近日,加拿大Walmart.ca网站出现了bug,部分用户反映订单的详细信息全部在网站显示了出来,信息泄露风险极大。
在Walmart.ca网站上我们可以看到一些订单示例,安大略省一台价值1500美元的笔记本电脑、萨斯喀彻温省一辆价值700美元的自行车和不列颠哥伦比亚省价值1100多美元的婴儿用品订单上,一位用户的姓名、运输和账单地址、订单日期、付款方式以及所使用的信用卡的最后四位数都被显示了出来。
一名从事IT工作的用户Bhatia发现了这一漏洞,并就此问题与加拿大沃尔玛(Walmart Canada)联系,但均以失败告终。于是他与CTVNews.ca取得联系,并向CTVNews.ca演示了,当他登录到自己的Walmart.ca帐户后如何通过常规网页访问属于其他客户的信息和订单。并且这些步骤可以被轻松复制并在全国范围内调用大量的客户订单。
据悉,暴露的信息包括完整的客户名称、帐单邮寄地址、产品是送货到家庭地址还是沃尔玛店内提货地点,还能查看订单是否使用Visa、Mastercard、Amex或PayPal付款。
CTVNews.ca就该问题联系了沃尔玛加拿大公司,这引起了沃尔玛的注意。沃尔玛加拿大公司发言人Adam Grachnik在一封电子邮件声明中说:“我们非常重视客户隐私,并制定了许多安全协议来保护它。今天这一问题引起了我们的注意,并且出于谨慎考虑我们立即禁用了该网页。我们正在进一步调查此事。”
与亚马逊相比,沃尔玛网站安全性能不高
网络安全专家Stevens在电话采访中称,此次沃尔玛出现的情况是造成数据泄露的高度敏感的例子。
据悉,CTVNews.ca在Amazon.ca上尝试了类似的步骤,但没有暴露用户的任何敏感信息。显然亚马逊在保护用户信息方面做得更多也更好。在进行自动Web应用程序安全性测试的immuniweb.com网站上,Walmart.ca的得分为B,分数在60到69之间,相比之下,Amazon.ca的得分为A,得分在90到99之间。
沃尔玛有关政策规定, 沃尔玛采取“漏洞披露的激励政策”,但可酌情决定个人是否有资格获得奖金补偿。相比之下,亚马逊的激励措施很明确,根据发现的漏洞的严重程度,支付的费用从100美元到15000美元不等。还是漏洞赏金计划专家的Stevens指出,尽管沃尔玛公司有“漏洞披露政策”,沃尔玛也不会激励黑客寻找漏洞,因为这将造成网站被发现非常多的漏洞。
此外,相比亚马逊,沃尔玛处理网站漏洞的周期也非常漫长。据openbugbounty.org数据显示,2017年有人在沃尔玛墨西哥网站上发现漏洞,沃尔玛公司花了6个月的时间对其进行修复。根据Hackerone的数据,Amazon响应和解决问题的平均时间为22天。
对于沃尔玛来说,认真对待和解决网站安全问题非常重要,这不仅是因为沃尔玛有义务,还因为它给客户带来了风险。
相关文章
