Walmart.ca用戶信息恐遭泄露

近日，加拿大Walmart.ca網站出現了bug，部分用戶反映訂單的詳細信息全部在網站顯示了出來，信息泄露風險極大。

在Walmart.ca網站上我們可以看到一些訂單示例，安大略省一臺價值1500美元的筆記本電腦、薩斯喀徹溫省一輛價值700美元的自行車和不列顛哥倫比亞省價值1100多美元的嬰兒用品訂單上，一位用戶的姓名、運輸和賬單地址、訂單日期、付款方式以及所使用的信用卡的最后四位數都被顯示了出來。

一名從事IT工作的用戶Bhatia發現了這一漏洞，并就此問題與加拿大沃爾瑪（Walmart Canada）聯系，但均以失敗告終。于是他與CTVNews.ca取得聯系，并向CTVNews.ca演示了，當他登錄到自己的Walmart.ca帳戶后如何通過常規網頁訪問屬于其他客戶的信息和訂單。并且這些步驟可以被輕松復制并在全國范圍內調用大量的客戶訂單。

據悉，暴露的信息包括完整的客戶名稱、帳單郵寄地址、產品是送貨到家庭地址還是沃爾瑪店內提貨地點，還能查看訂單是否使用Visa、Mastercard、Amex或PayPal付款。

CTVNews.ca就該問題聯系了沃爾瑪加拿大公司，這引起了沃爾瑪的注意。沃爾瑪加拿大公司發言人Adam Grachnik在一封電子郵件聲明中說：“我們非常重視客戶隱私，并制定了許多安全協議來保護它。今天這一問題引起了我們的注意，并且出于謹慎考慮我們立即禁用了該網頁。我們正在進一步調查此事。”

與亞馬遜相比，沃爾瑪網站安全性能不高

網絡安全專家Stevens在電話采訪中稱，此次沃爾瑪出現的情況是造成數據泄露的高度敏感的例子。

據悉，CTVNews.ca在Amazon.ca上嘗試了類似的步驟，但沒有暴露用戶的任何敏感信息。顯然亞馬遜在保護用戶信息方面做得更多也更好。在進行自動Web應用程序安全性測試的immuniweb.com網站上，Walmart.ca的得分為B，分數在60到69之間，相比之下，Amazon.ca的得分為A，得分在90到99之間。

沃爾瑪有關政策規定， 沃爾瑪采取“漏洞披露的激勵政策”，但可酌情決定個人是否有資格獲得獎金補償。相比之下，亞馬遜的激勵措施很明確，根據發現的漏洞的嚴重程度，支付的費用從100美元到15000美元不等。還是漏洞賞金計劃專家的Stevens指出，盡管沃爾瑪公司有“漏洞披露政策”，沃爾瑪也不會激勵黑客尋找漏洞，因為這將造成網站被發現非常多的漏洞。

此外，相比亞馬遜，沃爾瑪處理網站漏洞的周期也非常漫長。據openbugbounty.org數據顯示，2017年有人在沃爾瑪墨西哥網站上發現漏洞，沃爾瑪公司花了6個月的時間對其進行修復。根據Hackerone的數據，Amazon響應和解決問題的平均時間為22天。

對于沃爾瑪來說，認真對待和解決網站安全問題非常重要，這不僅是因為沃爾瑪有義務，還因為它給客戶帶來了風險。