近日,烏云網(wǎng)上公布了蘇寧易購的信息泄露漏洞,漏洞的類型為用戶敏感資料大量泄露。

    原來一位名為“路人甲”的白帽子在蘇寧的實(shí)體店里購買了幾件電器后不久就多次接到了400開頭的詐騙電話。白帽子騙子不堪電話騷擾,挖出了蘇寧信息泄露的漏洞。

    根據(jù)“路人甲”的描述,他在蘇寧實(shí)體店購買產(chǎn)品后,店員沒有經(jīng)過其同意便把他的個人資料及訂單注冊上傳到了蘇寧易購上。

    “路人甲”用手機(jī)找回了密碼,登陸后就出現(xiàn)了他的產(chǎn)品訂單。訂單顯示,他在今年9月14日和9月17日分別購買了一臺洗衣機(jī)和冰箱。

    通過自己的訂單信息,白帽子簡單地修改了網(wǎng)址后面的數(shù)字參數(shù)后,就找到了多個客戶信息。這些客戶的信息包括訂單時間、收貨人姓名、電話以及收貨地址、發(fā)票信息等。

    11月4日下午,廠商蘇寧回應(yīng)了“路人甲”的信息泄露漏洞狀態(tài)。蘇寧確認(rèn)漏洞的危害等級為“高”。

    烏云網(wǎng)平臺安全專家王彪告訴南方周末記者,這個屬于訂單遍歷（指全部的用戶信息都可以查到/編者注）問題。蘇寧沒有對訂單頁面做驗(yàn)證,“所有登錄用戶都可以任意查看其他用戶的訂單”。

    2015年9月17日,南方周末披露過蘇寧易購用戶信息泄露報道。而由“白帽子”提交給蘇寧易購（蘇寧易購系蘇寧旗下電商平臺）的系統(tǒng)漏洞多達(dá)270多條。

    自2015年4月14日以來,21CN聚投訴平臺就陸續(xù)接到了網(wǎng)友投訴,目前被投訴了36次。該平臺顯示,蘇寧易購的客戶單筆被騙金額最高達(dá)8.3萬元。

    在21CN上,最近一次被投訴的是北京的高女士。2015年11月18日,剛在蘇寧易購上買完東西,騙子便打來電話,準(zhǔn)確地說出了她在蘇寧易購上的購物信息和個人信息。

    對方自稱是蘇寧工作人員�！八麄冋f工作人員不小心把我改成了批發(fā)商,每個月要扣500元,一直會扣12個月”,高女士說,她就按照對方的要求去銀行的自動取款機(jī)上操作,之后就被騙了6萬多元。

    2015年12月25日,蘇寧易購回應(yīng)南方周末記者稱,烏云網(wǎng)上公布漏洞方案后,他們已經(jīng)找程序員進(jìn)行了緊急修復(fù)。