摘要 : 近日，網絡上爆出新聞“京東隱私泄露門升級：數百用戶欲集體訴訟京東”，"京東用戶隱私泄密門"事件，到底真相如何？

315晚會曝光個人信息泄露，已經讓所有人感覺心驚肉跳。但京東網站的信息泄露絕對讓你大吃一驚。

近日，網絡上爆出新聞“京東隱私泄露門升級：數百用戶欲集體訴訟京東”，"京東用戶隱私泄密門"事件已導致數百用戶被騙，總金額數百萬。用戶們已經準備對京東發起集體訴訟。維權成功與否先不談，出于對京東安全現狀以及對信息泄漏問題的好奇，筆者重點對兩個問題進行了探究，一是京東安全做的如何？二是詐騙分子的京東訂單數據從何而來？

京東安全做得如何呢？

筆者特地去漏洞報告平臺烏云WooYun.org看個究竟：（京東漏洞在烏云平臺的地址：http://www.wooyun.org/corps/%E4%BA%AC%E4%B8%9C%E5%95%86%E5%9F%8E）

京東存在的安全漏洞數量巨大

從漏洞報告平臺的統計來看，京東總共有146條安全漏洞的記錄，是其他同類網站的4倍以上。

京東針對安全問題的響應遲鈍

從漏洞報告平臺的反饋來看，京東在安全漏洞的響應速度較為遲緩，用戶評級只有兩星。

一個上市公司處理安全漏洞竟會如此低下？抱著懷疑的心態筆者隨意點開了幾個漏洞詳情。

以缺陷編號為WooYun-2014-86349的漏洞為例，漏洞是2014年12月8日（周一）通知到京東，但是京東到12月13日（周六）才開始響應和確認漏洞，整個響應過程整整花了6天時間。

京東存在較多較為嚴重的安全漏洞

對此，筆者專門咨詢了一個信息安全行業內比較資深的同學小明（一看就知道是化名）。小明表示，京東一直以來對安全的重視程度就不夠高，缺乏必要的自主漏洞發現機制和漏洞管理機制。以用戶信息泄露為例，當前京東還存在多個嚴重的用戶信息泄漏漏洞。

在筆者的再三要求下，小明演示了三個比較嚴重的京東安全漏洞：

漏洞揭秘一：如何獲取任意用戶購物車記錄

一個較為嚴重的購物車信息泄露漏洞。任意網站都可以構造一個特殊的惡意頁面提供給用戶訪問，一旦有用戶訪問了該頁面，惡意頁面就可以讀取當前用戶購物車中的具體內容。

此外，只要知道用戶ID，哪怕是任意猜一個ID，只要這個ID存在，便可以獲取這個用戶的購物車購買記錄。

第一步：登錄京東并在購物車內添加商品

第二步：訪問一個精心構造的惡意網站，該網站可以直接讀取購物車中的商品

最后，惡意網站可以把用戶的信息保存下來，并售賣給黑色產業鏈。

漏洞揭秘（二）：用戶手機號碼、郵箱地址、京東昵稱敏感信息直接暴露

另外，筆者還了解到京東目前還存在其他很多安全漏洞，例如：

1. 非HTTPS加密傳輸密碼：密碼沒有加密傳輸，只要能夠截獲網絡流量，即可獲取修改密碼的具體內容：

2. 最簡單的CSRF漏洞：第三方網站可以直接修改用戶默認收貨地址；

從以上漏洞可以看出，京東在信息安全上缺乏有效的管理，用戶信息的可用性、完整性、機密性沒有得到有效保障。京東在安全架構和設計不合理，管理后臺直接向Internet暴露；通信與網絡安全缺乏保護措施，敏感數據傳輸沒有采取加密的通信協議； 研發安全流程缺失，大量低級漏洞頻發；人員安全意識低下，直接通過郵件分享明文運維密碼。這些安全問題，正是導致信息泄露的一個直接原因。

黑色市場上的京東數據從哪兒來的？

筆者為了探究京東交易信息泄漏的環節，在網上尋找京東數據販賣者，發現了眾多QQ群：

加入QQ群后與其中一個自稱其擁有京東訂單數據的賣家詢問是否有數據：

為了博取我的信任，給我了一批京東訂單數據：

從給我的數據有完整訂單詳情、金額、運單號、日期、訂單支付方式、客戶姓名、客戶電話、客戶地址，以這些信息要進行詐騙，簡直輕而易舉啊！

數據到底怎么拿來的？

根據與這個QQ賣家的聊天，從其聊天中即可得知，數據來自京東內部員工！

黑色產業可以輕易滲透到京東內部員工，并且從內部員工處獲取訂單數據進行販賣，那么一定反映了這家市值幾百億的公司，其內部員工管理有多么混亂，其內部的數據保護是多么脆弱？ 這些都不得而知。