在电子商务高度发达的今天,网购已经成为人们日常生活必不可少的一部分。殊不知,在网购便利生活的同时,随之产生的安全隐患却是触目惊心的。这些潜在的威胁,不但防不胜防,竟还往往来自深得网民信赖的大站点。
信息失窃,用户诉求却遭忽视
最近,有关“京东用户信息泄密”的话题热度颇高:在百度上搜索"京东 泄密"的关键词,结果高达170多万个;而在新浪微博上搜索,目前也有接近10万条相关讨论。本着探寻事实真相的原则,小内加入了一个名为“京东泄密百人维权”的QQ群以进一步了解真相。
根据群内网友的告知,有骗子利用京东的安全隐患获取了他们的用户信息并在购物后极短的时间内回电实施诈骗。许多人甚至在短短几分钟之内就被骗走数十万,群里网友的损失累计已达数百万之多。
由于对方已经窃取了隐私信息,所以这样的诈骗极难识破,而且购物后网友的反应时间很短,稍不留神银行卡里的钱就立即被全额划走,非常危险。
一时间,网络上人心惶惶,但京东方面却未能给出一个令人信服的解释。不少网友尝试拨打京东的客服热线讨说法,但结果不是根本打不通就是“请稍等”后再无下文。
安全水平竟敌不过初中生
在著名的白帽平台乌云(http://www.wooyun.org/corps/%E4%BA%AC%E4%B8%9C%E5%95%86%E5%9F%8E),京东总共有146条安全漏洞的记录,竟是其他同类电商网站的4倍以上。从漏洞报告的反馈来看,京东在安全漏洞的响应速度也比较迟缓,用户评级只有两星。而根据历史记录,早在2011年12月,京东就已经存在导致用户资料泄露的漏洞了。
既然京东的安全漏洞数量多、反馈慢、持续久,那严重的泄密问题是不是早有发生呢?答案是显然的。2012年初便有过两起网友用户被盗用的案件发生,但京东当时均未作出正面回应。2012年底还是发生了件令人哭笑不得的案件,最高学历仅为初中的“黑客四人组”竟成功利用漏洞盗取了大量京东用户信息来非法获益。
那么,京东的这些安全漏洞,真的破解so easy?小内怀着疑惑,向身旁的安全达人山哥进行了一番咨询。
绝大多数用户很快就上当,是因为来电的骗子掌握了所有的购物情况。那么,骗子们是如何窃取这些信息的?山哥曰:黑客们其实是构造了一个特殊的恶意页面,一旦有人访问了该页面,他们就可以获取该用户购物车中的具体内容。然后,只要再知道用户ID,哪怕是任意猜一个ID,他们便可以得到这个用户的网购记录。最后,黑客会把用户的信息保存下来,再进行售卖。
此外,那为什么很多用户会被盗用、盗刷呢?山哥说:由于京东未使用HTTPS加密来传输密码,只要黑客能够截获网络流量,他们即可获取甚至修改密码的具体内容。非常意外的是,京东竟还存在一个非常简单的CSRF漏洞,通过它黑客可以直接修改用户默认收货地址。
利用京东存在的诸多漏洞,一个具备基本技术的黑客就足以获取用户ID、密码、购物信息、修改收获地址,并将之打包卖给骗子。所谓京东数据的销售渠道,竟也是以QQ群的形式存在,小内卧底进入后看到的情况真是触目惊心。
所以,小内得出的结论是:京东对安全的重视程度不够高,缺乏必要的自主漏洞发现机制和漏洞管理机制,因此才给了黑客们可乘之机。至于那些连初中黑客都防不了的“网管”,东哥还是赶紧把他们开掉吧。
危机公关?分明是推卸责任
既然的确存在大量安全隐患导致用户利益受损,京东有做出过什么正面应对或者危机公关呢?他们还是有所行动的,只不过……
首先,在315前一天,京东官方针对近期的“泄漏用户信息导致用户被骗”发表了一份声明,表示“京东一贯高度重视用户信息安全和资料保护,不会发生泄露用户信息的情况”。至于问题的根源,他们却一把推给了“部分保护用户信息安全意识较为薄弱的网站”。可自身有那么多安全漏洞的京东,不就是这样的网站吗?这样的声明,非但不能澄清事实,反倒是打脸了。
其次,官方微信“京东黑板报”在315当天又推送了一则“安全小贴士。通过对话的形式,解释了所谓“撞库”并再次声称京东网站的安全性,还温馨提示用户尽快开启多重账号保护。对于“泄密门”事件本身,京东却未做如何正面回应。京东认为,是用户在其他不安全网站的信息被窃,才进而诱发了黑客对于京东进行“撞库”,自己是纯属躺枪。这还是在开脱责任,如此危机公关,毫无诚意。
京东傲慢的态度,怎可能得到广大网友的认可?为了让更多人了解到真相,并引发舆论的关注。不少网友开始在京东官微微博的评论里都添上关于“泄密门”事件的内容,这下京东果然重视了,他们很快删掉了所有相关内容。如果说前面的拒绝正面表态已经是昏招,那删微博就简直是错上加错。
到目前为止,京东仍然拒绝正面回应“泄密门”事件,更别说表示对此负责。泄密一事果真和他们一点关系都没有?146个安全漏洞已经有力地给出了证明。此外,京东还可能有“内鬼”在作祟。去年1月份,某内部员工便因注册虚假账号进行作弊被举报,内部监管显然存在缺失。
安全不给力,监管也不够严,这才是“泄密门”的根源。京东对此采取的公关措施,却是消极应对,还试图掩盖事实,这难道就是他们所谓的“正”?小内认为这实乃下下之策,他们给这扇“泄密门”上错了锁。
那么,问题来了,到底哪把锁才能锁好“泄密门”呢?小内认为,事已至此,东哥也需要出来表个态了。正好可以再度强调一下京东的“正气”,安抚用户并给出解决方案,再拿下办事不力的相关人员,这才是那把对的锁。
试想京东如果能在泄密问题爆发的第一时间就雷厉风行的正面应对,很多问题也完全不会发展到如今程度。绯闻公关他们玩得转,危机公关也没理由不在行。问题恐怕还是在于有没有真正重视,有没有责任心。
作为一家上市企业,京东不仅需要对股东负责,更需要对消费者、乃至整个社会负责。逃避责任,最后只会导致民心尽失,市场难保。“以正打天下”的京东,是时候重拾初心了。
来源:http://mt.sohu.com/20150319/n410034676.shtml