eBay被曝网购记录漏洞 用户隐私安全面临挑战
据InternetRetailer 7月23日报道,美国电子商务平台eBay近日被爆出系统存在漏洞。两名来自纽约大学的研究人员称,该漏洞使得eBay的访问者可查看他人的购物记录。而其中就包括了一些如个人远程体检信息等敏感信息,而这也意味着在eBay上,个人隐私的底线正在面临挑战。 报道提到,在“买家反馈”这一页面内,用户可阅览由卖家提供他人购买的反馈,而这一切都是公开的。访问者甚至不用注册登陆eBay就可以轻松获取这些信息,这些信息详细到用户的购买时间及用户名。尽管该页面并未泄露具体的购物商品,但在比对“卖家反馈”页面中的购买时间记录后可以准确核对出顾客曾购买的具体商品。研究人员还称,即便在同一时间有多笔交易,在通过一定的技术手段后依旧可以获取想要获取的信息。 现行eBay在销售记录中采用匿名的形式记录顾客的数据,但在通过一定的算法之后,便可基本准确匹配得到每一宗交易的用户名及具体商品等信息。在此前的一项拥有5580条反馈记录的数据库测试中,研究人员借助公式达到了高达96%的匹配正确率。在特定的情形之下,研究人员可以尽可能多的获取买家信息。他们曾将在一份数据库中的131000个用户名中的17%相关联,借此可以泄露出更多买家的信息。 据此情况,研究人员表示他们已经正式通报eBay该漏洞并向eBay建议弥补漏洞的措施,但遗憾的是eBay目前还未做出改变。eBay新闻发言人对此表示,报道中的漏洞是“极其不准确的”,并称“我们的购物平台具有很高的透明度的平台,而此种透明创造出了信任。在现行的机制下,除非用户主动泄露用户ID,没人能分辨其交易记录。为防止有第三方组织通过社交平台蓄意跟踪,用户只要不采用与真名类似的用户名,他们的安全是可以得到保障的” 。 研究人员中一名纽约大学计算机科学与工程系博士学位候选人明库斯则就此再度回应否认了eBay平台安全的可靠性。“尽管编辑整理一些有关孕妇或远程HIV体检的数据对于特定群体是有益的但就此产生的影响是难以估量的。” 研究人员还以购买枪支配件的顾客群为例证实系统存在隐患。数据显示在购买枪支配件中大约22万的顾客就有3万多人可根据eBay账户追踪至其Facebook账户。 这也侧面证实了,警方可以借助这一漏洞调查未注册枪支的持有人或相关组织的私人信息。“eBay方面可以采取简单的措施弥补该漏洞。”明库斯与其合伙人表示平台可以改变“卖家反馈”页面的默认设定,使得评论依旧公开但其实际购买物品的记录不会与买家和卖家页面相关联。 相关新闻: 12306刷票软件再曝漏洞利益诱惑难禁黄牛倒票 近日,火车票销售官网12306“购票可选上下铺”的漏洞刚刚修复,其手机客户端再被曝光存在安全漏洞,黄牛利用该漏洞甚至一个人就可以将全车厢的票买下来。尽管自成立以来,12306不断推出诸多特殊乘客预约服务、电话办理发货服务、车票快递等举措方便人们的出行,但网站的安全硬伤始终如影随形,让“铁老大”的改革成效大打折扣。在与黄牛的拉锯战中前行的12306,因不时曝光的漏洞频繁成为民众情绪的宣泄口。【详细】 安卓电话权限漏洞细节公开:手机竟能自己打电话 近日,360手机安全团队发布技术研究报告称,最新发现了一种可以让手机偷偷拨打或挂断电话的Android手机漏洞。分析报告指出,虽然目前Android4.4.3版本已修复了这一漏洞,但Android系统版本在4.1.1~4.4.2的手机用户仍受影响。【详细】 “滴滴打车”被爆存漏洞叫车招来“黑车” 打车软件为人们的出行带来了方便,但随之而来也产生了新的问题。近日有消费者反映,用滴滴打车软件叫到了“黑车”。【详细】 |
关键词:eBay,网购记录,漏洞,用户隐私 |