近日,烏云網(wǎng)上公布了蘇寧易購(gòu)的信息泄露漏洞,漏洞的類型為用戶敏感資料大量泄露。

    原來(lái)一位名為“路人甲”的白帽子在蘇寧的實(shí)體店里購(gòu)買了幾件電器后不久就多次接到了400開頭的詐騙電話。白帽子騙子不堪電話騷擾,挖出了蘇寧信息泄露的漏洞。

    根據(jù)“路人甲”的描述,他在蘇寧實(shí)體店購(gòu)買產(chǎn)品后,店員沒有經(jīng)過其同意便把他的個(gè)人資料及訂單注冊(cè)上傳到了蘇寧易購(gòu)上。

    “路人甲”用手機(jī)找回了密碼,登陸后就出現(xiàn)了他的產(chǎn)品訂單。訂單顯示,他在今年9月14日和9月17日分別購(gòu)買了一臺(tái)洗衣機(jī)和冰箱。

    通過自己的訂單信息,白帽子簡(jiǎn)單地修改了網(wǎng)址后面的數(shù)字參數(shù)后,就找到了多個(gè)客戶信息。這些客戶的信息包括訂單時(shí)間、收貨人姓名、電話以及收貨地址、發(fā)票信息等。

    11月4日下午,廠商蘇寧回應(yīng)了“路人甲”的信息泄露漏洞狀態(tài)。蘇寧確認(rèn)漏洞的危害等級(jí)為“高”。

    烏云網(wǎng)平臺(tái)安全專家王彪告訴南方周末記者,這個(gè)屬于訂單遍歷（指全部的用戶信息都可以查到/編者注）問題。蘇寧沒有對(duì)訂單頁(yè)面做驗(yàn)證,“所有登錄用戶都可以任意查看其他用戶的訂單”。

    2015年9月17日,南方周末披露過蘇寧易購(gòu)用戶信息泄露報(bào)道。而由“白帽子”提交給蘇寧易購(gòu)（蘇寧易購(gòu)系蘇寧旗下電商平臺(tái)）的系統(tǒng)漏洞多達(dá)270多條。

    自2015年4月14日以來(lái),21CN聚投訴平臺(tái)就陸續(xù)接到了網(wǎng)友投訴,目前被投訴了36次。該平臺(tái)顯示,蘇寧易購(gòu)的客戶單筆被騙金額最高達(dá)8.3萬(wàn)元。

    在21CN上,最近一次被投訴的是北京的高女士。2015年11月18日,剛在蘇寧易購(gòu)上買完?yáng)|西,騙子便打來(lái)電話,準(zhǔn)確地說(shuō)出了她在蘇寧易購(gòu)上的購(gòu)物信息和個(gè)人信息。

    對(duì)方自稱是蘇寧工作人員�！八麄冋f(shuō)工作人員不小心把我改成了批發(fā)商,每個(gè)月要扣500元,一直會(huì)扣12個(gè)月”,高女士說(shuō),她就按照對(duì)方的要求去銀行的自動(dòng)取款機(jī)上操作,之后就被騙了6萬(wàn)多元。

    2015年12月25日,蘇寧易購(gòu)回應(yīng)南方周末記者稱,烏云網(wǎng)上公布漏洞方案后,他們已經(jīng)找程序員進(jìn)行了緊急修復(fù)。