日前，第三方安全問題反饋平臺“烏云漏洞”通過微博發(fā)布信息稱，當當網(wǎng)由于設(shè)計缺陷可導致用戶資料泄露，僅兩天，就已經(jīng)引來了數(shù)百名網(wǎng)友轉(zhuǎn)發(fā)及評論。雖然當當網(wǎng)在消息公布當天就馬上對漏洞進行處理，并稱“技術(shù)人員在10分鐘內(nèi)立即進行了修復”，但一件10分鐘就能完成的事為何會鬧得滿城風雨？“烏云漏洞”負責人方先生向新快報記者表示，公布當當網(wǎng)漏洞信息主要是因為此前當當網(wǎng)對漏洞毫不重視，因此平臺選擇公開信息借以引起當當網(wǎng)對安全問題的重視。

　　漏洞可泄露數(shù)萬個用戶信息

　　根據(jù)烏云漏洞發(fā)布的報告描述，用戶只要在登錄后，按步驟修改特定的網(wǎng)址就可得到全部當當網(wǎng)收件人的地址、姓名及聯(lián)系方式，報告者在詳情描述中稱漏洞是由于“某處設(shè)計不當，不能過于詳細，太容易發(fā)現(xiàn)了”。

　　漏洞公布后，有網(wǎng)友還親自驗證了該信息的真?zhèn)?，并證實當當網(wǎng)漏洞可以抓取到共4000多萬個地址信息。不少業(yè)內(nèi)人士也參與了討論，其中北京市活力天匯科技有限公司產(chǎn)品事業(yè)部總經(jīng)理 史冊偉發(fā)微博表示“這個烏龍也太大了吧？傳值沒問題，但居然不判斷address id的所有權(quán)是否屬于當前用戶！”而金山網(wǎng)絡(luò)反病毒工程師李鐵軍則轉(zhuǎn)發(fā)微博表示，“有漏洞及時處理，天不會塌下來，不重視安全漏洞，不及時修補才是致命的。”

　　一位長期從事編程工作的王先生告訴新快報記者，當當網(wǎng)這次出現(xiàn)的漏洞是屬于低級錯誤，“即使是一個業(yè)余愛好者也能通過復制地址發(fā)現(xiàn)問題?！彼硎?，一般這種用戶信息是不應該出現(xiàn)在地址上的，而應該加密，但可能由于加密耗費的時間成本不少，所以一般網(wǎng)站很少做到，“但沒想到像當當網(wǎng)這么大的電商也不對資料加密?！?/P>

　　而接獲報告當日，當當網(wǎng)稱已于當天上午對漏洞進行了修復，并表示，經(jīng)過系統(tǒng)日志檢查，不存在大量用戶信息被泄露的情況。

　　曾數(shù)次藐視漏洞報告

　　事實上，當當網(wǎng)并不是第一次被發(fā)現(xiàn)有漏洞。據(jù)烏云漏洞負責人方先生介紹，此前最少兩次發(fā)現(xiàn)當當網(wǎng)的系統(tǒng)中存在漏洞，但經(jīng)過聯(lián)系，當當網(wǎng)并未給予任何回應。方先生介紹說，在烏云漏洞上，一般報告是由網(wǎng)友提供的，而平臺會先把報告放在后臺，在確認漏洞和通知電商處理后，才會公布報告，“一般漏洞報告都應該在修復后才公布的”，方先生認為這樣可以避免漏洞造成系統(tǒng)崩潰或泄漏信息。但事實上，并不是每個電商都重視漏洞，他表示，正是由于當當網(wǎng)對此前的漏洞報告一直沒有回應，因此才選擇在漏洞修復前公開報告，并想借此引起當當網(wǎng)對安全問題的重視。

　　記者在該平臺上看到，網(wǎng)站公布的每一個漏洞信息均有一個列表，上面清晰地注明漏洞類型、危害等級以及漏洞狀態(tài)等信息，而在當當網(wǎng)的漏洞狀態(tài)一欄顯示“未聯(lián)系到廠商或者廠商積極忽略”。

　　記者通過平臺查閱發(fā)現(xiàn)，除這次公布的漏洞外，當當網(wǎng)還曾被發(fā)現(xiàn)“當當網(wǎng)收藏管理XSS漏洞”、“當當網(wǎng)多處存儲型XSS漏洞”、“當當網(wǎng)用戶隱私泄露漏洞”等，王先生告訴記者，第一個漏洞也是可讓“有心人”通過在地址欄插入應用程序盜取用戶信息，“這種漏洞甚至能泄露用戶密碼等更為機密的信息?！倍谠搱蟾娴幕貞獧谥幸诧@示“未能聯(lián)系到廠商或者廠商積極拒絕?！庇浾呔痛酥码姰敭斁W(wǎng)公關(guān)部經(jīng)理葉小舟，詢問上述漏洞是否也已經(jīng)解決，但截至交稿，仍未收到任何回應。

　　鏈接 京東商城、凡客誠品均曾現(xiàn)系統(tǒng)漏洞

　　據(jù)方先生介紹，烏云漏洞是由一群對網(wǎng)絡(luò)安全感興趣的IT人于2010年7月建立，但建站才一年多，發(fā)現(xiàn)的漏洞已經(jīng)超過3000個了。通過平臺提供的公開信息可以發(fā)現(xiàn)，京東商城、163郵箱、搜狐微博等都曾經(jīng)有不同程度的系統(tǒng)漏洞，而凡客誠品也曾經(jīng)出現(xiàn)如當當網(wǎng)這種用戶信息泄露的程序漏洞。

　　方先生認為，在編程中出現(xiàn)漏洞是在所難免的，但現(xiàn)在問題是，有的電商對漏洞并不關(guān)心，“像當當網(wǎng)這種已上市的大型電商，在這方面履行責任實在做得不足夠?！倍聦嵣?，從記者查詢的資料看，目前我國仍沒建立一個程序漏洞監(jiān)控的第三方平臺，監(jiān)管仍存在大片空白。

　　不過，有網(wǎng)友認為，烏云漏洞這種反映問題的做法與“逼宮”無異，“當當網(wǎng)確實罪不可赦，但是烏云公開這個漏洞，無疑將該漏洞的危險放大N倍……這樣確實給了當當網(wǎng)壓力，但是也將幾千萬的用戶置于更大的風險中。”

　　中國政法大學知識產(chǎn)權(quán)中心研究員趙占領(lǐng)表示，目前，《中華人民共和國侵權(quán)責任法》對公民的隱私權(quán)有明確保護，而《刑法》也規(guī)定了泄漏個人信息可能要承擔刑事責任，消費者遇到上述情況時可以通過民事、刑事途徑維權(quán)，但關(guān)鍵是證據(jù)比較難收集，尤其像當當網(wǎng)這個情況，消費者可能還沒來得及保留證據(jù)、進行公證，當當網(wǎng)就已經(jīng)采取了技術(shù)應對措施。以此來看，網(wǎng)絡(luò)漏洞的監(jiān)控與管理仍需靠電商的自覺，不過趙占領(lǐng)同時透露，目前工信部正在牽頭制定關(guān)于個人信息保護的首個國家標準，目前該標準還沒頒布。