Walmart.ca网站现bug,用户信息泄露风险大

跨境头条 2年前 (2023) iow
19.5K 0 0

Walmart.ca用户信息恐遭泄露

 

近日,加拿大Walmart.ca网站出现了bug,部分用户反映订单的详细信息全部在网站显示了出来,信息泄露风险极大。

 

Walmart.ca网站上我们可以看到一些订单示例,安大略省一台价值1500美元的笔记本电脑、萨斯喀彻温省一辆价值700美元的自行车和不列颠哥伦比亚省价值1100多美元的婴儿用品订单上,一位用户的姓名、运输和账单地址、订单日期、付款方式以及所使用的信用卡的最后四位数都被显示了出来

 

一名从事IT工作的用户Bhatia发现了这一漏洞,并就此问题与加拿大沃尔玛(Walmart Canada)联系,但均以失败告终。于是他与CTVNews.ca取得联系,并向CTVNews.ca演示了,当他登录到自己的Walmart.ca帐户后如何通过常规网页访问属于其他客户的信息和订单。并且这些步骤可以被轻松复制并在全国范围内调用大量的客户订单。

 

据悉,暴露的信息包括完整的客户名称、帐单邮寄地址、产品是送货到家庭地址还是沃尔玛店内提货地点,还能查看订单是否使用Visa、Mastercard、Amex或PayPal付款。

 

CTVNews.ca就该问题联系了沃尔玛加拿大公司,这引起了沃尔玛的注意。沃尔玛加拿大公司发言人Adam Grachnik在一封电子邮件声明中说:“我们非常重视客户隐私,并制定了许多安全协议来保护它。今天这一问题引起了我们的注意,并且出于谨慎考虑我们立即禁用了该网页。我们正在进一步调查此事。

 

与亚马逊相比,沃尔玛网站安全性能不高

 

网络安全专家Stevens在电话采访中称,此次沃尔玛出现的情况是造成数据泄露的高度敏感的例子。

 

据悉,CTVNews.ca在Amazon.ca上尝试了类似的步骤,但没有暴露用户的任何敏感信息。显然亚马逊在保护用户信息方面做得更多也更好。在进行自动Web应用程序安全性测试的immuniweb.com网站上,Walmart.ca的得分B,分数在60到69之间,相比之下,Amazon.ca的得分A,得分在90到99之间。

 

沃尔玛有关政策规定, 沃尔玛采取“漏洞披露的激励政策”,但可酌情决定个人是否有资格获得奖金补偿相比之下,亚马逊的激励措施很明确,根据发现的漏洞的严重程度,支付的费用从100美元到15000美元不等。还是漏洞赏金计划专家的Stevens指出,尽管沃尔玛公司有“漏洞披露政策”,沃尔玛也不会激励黑客寻找漏洞,因为这将造成网站被发现非常多的漏洞。

 

此外,相比亚马逊,沃尔玛处理网站漏洞的周期也非常漫长。openbugbounty.org数据显示2017年有人在沃尔玛墨西哥网站上发现漏洞,沃尔玛公司花了6个月的时间对其进行修复根据Hackerone的数据Amazon响应和解决问题的平均时间为22天。

 

对于沃尔玛来说,认真对待和解决网站安全问题非常重要,这不仅是因为沃尔玛有义务,还因为它给客户带来了风险。

 

版权声明:iow 发表于 2023年2月3日 pm12:16。
转载请注明:Walmart.ca网站现bug,用户信息泄露风险大 | 蘑菇跨境

相关文章