據(jù)電商網(wǎng)站建設(shè)蒙特關(guān)注到��,就在申通快遞借殼上市正在緊鑼密鼓的進(jìn)行時(shí)��,一個(gè)關(guān)于申通不太好的消息被媒體披露����,給意氣風(fēng)發(fā)的申通潑了一小瓢“冷水”——申通存在信息安全漏洞導(dǎo)致用戶信息泄露��。
經(jīng)過(guò)梳理���,申通漏洞事件的過(guò)程大體上是這樣的:
2014 年7月19日����,一名叫“袋鼠媽媽”的漏洞作者在烏云網(wǎng)提交了一份名為“國(guó)內(nèi)快遞行業(yè)某個(gè)疑似通用軟件配置不當(dāng)引發(fā)大量信息泄露”的報(bào)告。報(bào)告顯示�,報(bào)告作者共測(cè)試了5家與該軟件相關(guān)的快遞公司�����,其中就包括申通�。報(bào)告的最后,作者寫道:“綜上����,個(gè)人推斷快遞行業(yè)使用的K8速運(yùn)管理系統(tǒng)會(huì)因配置不當(dāng)導(dǎo)致泄露,有空看能否對(duì)其軟件逆向試試�����,但目前大量快遞信息泄露是真實(shí)存在的��?!狈缸锖诳驮凇盀踉凭W(wǎng)”上看到了公布出來(lái)的申通公司的系統(tǒng)漏洞后,利用申通K8速運(yùn)管理系統(tǒng)漏洞非法侵入申通快遞有限公司服務(wù)器�,下載包含公民個(gè)人信息的快遞面單信息2000余條,通過(guò)網(wǎng)絡(luò)如QQ群將信息出售給他人����。申通法務(wù)人員發(fā)現(xiàn)后����,報(bào)案�。
從事件過(guò)程看,出現(xiàn)軟件漏洞的應(yīng)該不止申通一家��,但可能只有申通的服務(wù)器被攻破了����,或者此前其他快遞已經(jīng)補(bǔ)救了這個(gè)漏洞,當(dāng)然也許是其他原因���。但不管怎么樣��,只有申通被擺上了桌面�����。
這時(shí)�,我想起與申通信息泄露關(guān)系緊密的京東購(gòu)物者被騙的事情來(lái)��。
2015 年4月���,有消息稱上百人在京東網(wǎng)購(gòu)后遭詐騙���,他們準(zhǔn)備起訴京東泄露信息�����。當(dāng)時(shí),針對(duì)這起事件����,幾位安全專家交流京東用戶信息是如何泄露導(dǎo)致被騙的原因時(shí)。有位專家提出�,用戶信息泄露的原因“一種可能是物流過(guò)程泄露,一種可能是釣魚網(wǎng)站騙取信息���?�!倍硪晃粚<覄t認(rèn)為�����,信息泄露原因“有可能是軟件漏洞或者插件漏洞�?���!鼻岸螘r(shí)間����,京東漏洞被黑客利用的消息證明�����,京東確實(shí)存在過(guò)漏洞���。而這一次申通信息泄露的消息同時(shí)也證明了一個(gè)問(wèn)題:快遞網(wǎng)站被黑客攻破并非妄言�。
這樣一來(lái)��,從京東和申通這一個(gè)賣貨的�、一個(gè)送貨的漏洞事件看,用戶信息泄露的途徑已經(jīng)非常明了�,而我們也終于知道為什么騙子那么多了!所以,當(dāng)我們購(gòu)物之后接到騙子的電話時(shí)��,你也不用驚訝為何自己的信息為何會(huì)到了騙子手上��。當(dāng)黑客進(jìn)入快遞網(wǎng)站�����,像打開(kāi)自己的電腦那樣簡(jiǎn)單,去瀏覽快遞用戶信息時(shí)�,你的信息不泄露才是一件怪事。
不管申通是不是第一個(gè)因?yàn)槁┒磳?dǎo)致信息泄露的快遞公司����,有些問(wèn)題都讓我很困惑。
不知道您有沒(méi)有注意兩個(gè)細(xì)節(jié)�����。一個(gè)是:黑客在烏云網(wǎng)發(fā)現(xiàn)“看到了公布出來(lái)的申通公司的系統(tǒng)漏洞����?��!绷硪粋€(gè)細(xì)節(jié)是���,“申通的法務(wù)人員發(fā)現(xiàn)黑客在賣申通公司的信息后,向公安機(jī)關(guān)報(bào)案���,并提交了付款等圖片證據(jù)�?���!?/FONT>
這兩個(gè)細(xì)節(jié)說(shuō)明:烏云網(wǎng)公布漏洞后���,是黑客首先發(fā)現(xiàn)的信息,并利用了信息;而申通信息沒(méi)有進(jìn)一步泄露�����、擴(kuò)散�����,似乎是申通的法務(wù)人員人員立了一功����。
很奇怪,一般情況下���,烏云網(wǎng)公布的漏洞都會(huì)被相關(guān)涉事公司確認(rèn)或者否認(rèn)���,出現(xiàn)漏洞的公司會(huì)及時(shí)補(bǔ)救。難道��,申通公司對(duì)此沒(méi)有理會(huì)?假如申通在發(fā)現(xiàn)烏云網(wǎng)公布的漏洞后���,及時(shí)修補(bǔ)或者升級(jí)軟件的話����,應(yīng)該會(huì)避免信息泄露的事件發(fā)生。而申通的法務(wù)人員人員執(zhí)行職責(zé)的出色表現(xiàn)值得表?yè)P(yáng)��,可申通的技術(shù)人員是否也及時(shí)做出表現(xiàn)了呢?不知道�,事實(shí)究竟是怎么樣的。也許����,是我多慮了吧!
但有一點(diǎn)可以肯定,如果不是黑客在烏云網(wǎng)發(fā)現(xiàn)了漏洞報(bào)告��,那他們就不能竊取申通的用戶信息�。而用戶信息買賣不被被申通法務(wù)人員發(fā)現(xiàn)的話���,申通也不知道自己的信息泄露��。那么�����,在這個(gè)事情上�,申通是該感謝烏云網(wǎng),還是該責(zé)備烏云網(wǎng)呢?這顯然很矛盾!
一直以來(lái)�,申通快遞的服務(wù)水平都受人詬病(突然想到,前幾天我的包裹到了�����,竟然被申通以謊言的理由自行處理了���,后期反復(fù)與申通聯(lián)系�����,申通電話回應(yīng):包裹你還要不要了�,不要的話我就不送了!作為申通的用戶����,我也是心碎了,痛的領(lǐng)悟啊...�。)根據(jù)國(guó)家郵政局公布的《2015年10月主要快遞企業(yè)申訴率表》,在全國(guó)知名的快遞企業(yè)中���,申通的投訴率位列第三��,國(guó)通的延誤率最高���。而這次的漏洞事件�����,不知正在積極上市的申通會(huì)作何感想��。
亡羊補(bǔ)牢�,為時(shí)未晚����。申通信息泄露的事情至少會(huì)有這么一點(diǎn)意義:讓快遞公司、電商可以真正重視安全的意義��。不管是和安全軟件公司合作���,還是聘請(qǐng)安全專家任職����,包括申通在內(nèi)的快遞公司以及電商們都應(yīng)該在自省之后有所舉動(dòng)��。否則��,你就會(huì)重復(fù)申通的信息泄露過(guò)程�����。
蒙特電子商務(wù)平臺(tái)開(kāi)發(fā)-相信未來(lái)2016直至以后��,電商及其所屬的服務(wù)行業(yè)�,如果服務(wù)意識(shí)形態(tài)和服務(wù)安全措施等得不到有利改善,那么�,用戶會(huì)如何選擇,真正的終結(jié)者會(huì)花落誰(shuí)家����,只能溫馨提醒那些不重視用戶體驗(yàn)的企業(yè)請(qǐng)三思而后行,是自求多福還是自省...此處省略一萬(wàn)個(gè)字!
此文由蒙特http://hycomm.cn/原筆發(fā)布�,轉(zhuǎn)載請(qǐng)注明出處,如有惡意轉(zhuǎn)載�,違者必究!
據(jù)電商網(wǎng)站建設(shè)蒙特關(guān)注到,就在申通快遞借殼上市正在緊鑼密鼓的進(jìn)行時(shí)����,一個(gè)關(guān)于申通不太好的消息被媒體披露,給意氣風(fēng)發(fā)的申通潑了一小瓢“冷水”——申通存在信息安全漏洞導(dǎo)致用戶信息泄露����。
經(jīng)過(guò)梳理,申通漏洞事件的過(guò)程大體上是這樣的:
2014 年7月19日��,一名叫“袋鼠媽媽”的漏洞作者在烏云網(wǎng)提交了一份名為“國(guó)內(nèi)快遞行業(yè)某個(gè)疑似通用軟件配置不當(dāng)引發(fā)大量信息泄露”的報(bào)告。報(bào)告顯示�,報(bào)告作者共測(cè)試了5家與該軟件相關(guān)的快遞公司,其中就包括申通����。報(bào)告的最后,作者寫道:“綜上��,個(gè)人推斷快遞行業(yè)使用的K8速運(yùn)管理系統(tǒng)會(huì)因配置不當(dāng)導(dǎo)致泄露�����,有空看能否對(duì)其軟件逆向試試�����,但目前大量快遞信息泄露是真實(shí)存在的��?�!狈缸锖诳驮凇盀踉凭W(wǎng)”上看到了公布出來(lái)的申通公司的系統(tǒng)漏洞后�����,利用申通K8速運(yùn)管理系統(tǒng)漏洞非法侵入申通快遞有限公司服務(wù)器�,下載包含公民個(gè)人信息的快遞面單信息2000余條,通過(guò)網(wǎng)絡(luò)如QQ群將信息出售給他人��。申通法務(wù)人員發(fā)現(xiàn)后�,報(bào)案。
從事件過(guò)程看�,出現(xiàn)軟件漏洞的應(yīng)該不止申通一家,但可能只有申通的服務(wù)器被攻破了��,或者此前其他快遞已經(jīng)補(bǔ)救了這個(gè)漏洞�����,當(dāng)然也許是其他原因����。但不管怎么樣,只有申通被擺上了桌面�。
這時(shí),我想起與申通信息泄露關(guān)系緊密的京東購(gòu)物者被騙的事情來(lái)���。
2015 年4月�����,有消息稱上百人在京東網(wǎng)購(gòu)后遭詐騙����,他們準(zhǔn)備起訴京東泄露信息。當(dāng)時(shí)���,針對(duì)這起事件�,幾位安全專家交流京東用戶信息是如何泄露導(dǎo)致被騙的原因時(shí)����。有位專家提出,用戶信息泄露的原因“一種可能是物流過(guò)程泄露��,一種可能是釣魚網(wǎng)站騙取信息���?!倍硪晃粚<覄t認(rèn)為�����,信息泄露原因“有可能是軟件漏洞或者插件漏洞���?����!鼻岸螘r(shí)間���,京東漏洞被黑客利用的消息證明,京東確實(shí)存在過(guò)漏洞����。而這一次申通信息泄露的消息同時(shí)也證明了一個(gè)問(wèn)題:快遞網(wǎng)站被黑客攻破并非妄言。
這樣一來(lái)���,從京東和申通這一個(gè)賣貨的����、一個(gè)送貨的漏洞事件看�,用戶信息泄露的途徑已經(jīng)非常明了���,而我們也終于知道為什么騙子那么多了!所以����,當(dāng)我們購(gòu)物之后接到騙子的電話時(shí)���,你也不用驚訝為何自己的信息為何會(huì)到了騙子手上�。當(dāng)黑客進(jìn)入快遞網(wǎng)站,像打開(kāi)自己的電腦那樣簡(jiǎn)單�,去瀏覽快遞用戶信息時(shí),你的信息不泄露才是一件怪事��。
不管申通是不是第一個(gè)因?yàn)槁┒磳?dǎo)致信息泄露的快遞公司��,有些問(wèn)題都讓我很困惑�����。
不知道您有沒(méi)有注意兩個(gè)細(xì)節(jié)�����。一個(gè)是:黑客在烏云網(wǎng)發(fā)現(xiàn)“看到了公布出來(lái)的申通公司的系統(tǒng)漏洞���?�!绷硪粋€(gè)細(xì)節(jié)是����,“申通的法務(wù)人員發(fā)現(xiàn)黑客在賣申通公司的信息后����,向公安機(jī)關(guān)報(bào)案�����,并提交了付款等圖片證據(jù)�����。”
這兩個(gè)細(xì)節(jié)說(shuō)明:烏云網(wǎng)公布漏洞后�,是黑客首先發(fā)現(xiàn)的信息,并利用了信息;而申通信息沒(méi)有進(jìn)一步泄露��、擴(kuò)散�����,似乎是申通的法務(wù)人員人員立了一功��。
很奇怪�����,一般情況下�,烏云網(wǎng)公布的漏洞都會(huì)被相關(guān)涉事公司確認(rèn)或者否認(rèn)���,出現(xiàn)漏洞的公司會(huì)及時(shí)補(bǔ)救。難道�,申通公司對(duì)此沒(méi)有理會(huì)?假如申通在發(fā)現(xiàn)烏云網(wǎng)公布的漏洞后,及時(shí)修補(bǔ)或者升級(jí)軟件的話��,應(yīng)該會(huì)避免信息泄露的事件發(fā)生�����。而申通的法務(wù)人員人員執(zhí)行職責(zé)的出色表現(xiàn)值得表?yè)P(yáng)��,可申通的技術(shù)人員是否也及時(shí)做出表現(xiàn)了呢?不知道����,事實(shí)究竟是怎么樣的。也許����,是我多慮了吧!
但有一點(diǎn)可以肯定,如果不是黑客在烏云網(wǎng)發(fā)現(xiàn)了漏洞報(bào)告����,那他們就不能竊取申通的用戶信息。而用戶信息買賣不被被申通法務(wù)人員發(fā)現(xiàn)的話����,申通也不知道自己的信息泄露�����。那么��,在這個(gè)事情上����,申通是該感謝烏云網(wǎng)�,還是該責(zé)備烏云網(wǎng)呢?這顯然很矛盾!
一直以來(lái),申通快遞的服務(wù)水平都受人詬病(突然想到�,前幾天我的包裹到了�,竟然被申通以謊言的理由自行處理了,后期反復(fù)與申通聯(lián)系����,申通電話回應(yīng):包裹你還要不要了,不要的話我就不送了!作為申通的用戶����,我也是心碎了,痛的領(lǐng)悟啊...���。)根據(jù)國(guó)家郵政局公布的《2015年10月主要快遞企業(yè)申訴率表》�����,在全國(guó)知名的快遞企業(yè)中�����,申通的投訴率位列第三����,國(guó)通的延誤率最高。而這次的漏洞事件���,不知正在積極上市的申通會(huì)作何感想��。
亡羊補(bǔ)牢����,為時(shí)未晚��。申通信息泄露的事情至少會(huì)有這么一點(diǎn)意義:讓快遞公司�����、電商可以真正重視安全的意義。不管是和安全軟件公司合作�����,還是聘請(qǐng)安全專家任職�,包括申通在內(nèi)的快遞公司以及電商們都應(yīng)該在自省之后有所舉動(dòng)。否則���,你就會(huì)重復(fù)申通的信息泄露過(guò)程�。
蒙特電子商務(wù)平臺(tái)開(kāi)發(fā)-相信未來(lái)2016直至以后��,電商及其所屬的服務(wù)行業(yè)����,如果服務(wù)意識(shí)形態(tài)和服務(wù)安全措施等得不到有利改善,那么��,用戶會(huì)如何選擇��,真正的終結(jié)者會(huì)花落誰(shuí)家�����,只能溫馨提醒那些不重視用戶體驗(yàn)的企業(yè)請(qǐng)三思而后行���,是自求多福還是自省...此處省略一萬(wàn)個(gè)字!
此文由蒙特http://hycomm.cn/原筆發(fā)布���,轉(zhuǎn)載請(qǐng)注明出處,如有惡意轉(zhuǎn)載�,違者必究!
