日前，第三方安全問(wèn)題反饋平臺(tái)“烏云漏洞”通過(guò)微博發(fā)布信息稱，當(dāng)當(dāng)網(wǎng)由于設(shè)計(jì)缺陷可導(dǎo)致用戶資料泄露，僅兩天，就已經(jīng)引來(lái)了數(shù)百名網(wǎng)友轉(zhuǎn)發(fā)及評(píng)論。雖然當(dāng)當(dāng)網(wǎng)在消息公布當(dāng)天就馬上對(duì)漏洞進(jìn)行處理，并稱“技術(shù)人員在10分鐘內(nèi)立即進(jìn)行了修復(fù)”，但一件10分鐘就能完成的事為何會(huì)鬧得滿城風(fēng)雨？“烏云漏洞”負(fù)責(zé)人方先生向新快報(bào)記者表示，公布當(dāng)當(dāng)網(wǎng)漏洞信息主要是因?yàn)榇饲爱?dāng)當(dāng)網(wǎng)對(duì)漏洞毫不重視，因此平臺(tái)選擇公開(kāi)信息借以引起當(dāng)當(dāng)網(wǎng)對(duì)安全問(wèn)題的重視。

　　漏洞可泄露數(shù)萬(wàn)個(gè)用戶信息

　　根據(jù)烏云漏洞發(fā)布的報(bào)告描述，用戶只要在登錄后，按步驟修改特定的網(wǎng)址就可得到全部當(dāng)當(dāng)網(wǎng)收件人的地址、姓名及聯(lián)系方式，報(bào)告者在詳情描述中稱漏洞是由于“某處設(shè)計(jì)不當(dāng)，不能過(guò)于詳細(xì)，太容易發(fā)現(xiàn)了”。

　　漏洞公布后，有網(wǎng)友還親自驗(yàn)證了該信息的真?zhèn)?，并證實(shí)當(dāng)當(dāng)網(wǎng)漏洞可以抓取到共4000多萬(wàn)個(gè)地址信息。不少業(yè)內(nèi)人士也參與了討論，其中北京市活力天匯科技有限公司產(chǎn)品事業(yè)部總經(jīng)理 史冊(cè)偉發(fā)微博表示“這個(gè)烏龍也太大了吧？傳值沒(méi)問(wèn)題，但居然不判斷address id的所有權(quán)是否屬于當(dāng)前用戶！”而金山網(wǎng)絡(luò)反病毒工程師李鐵軍則轉(zhuǎn)發(fā)微博表示，“有漏洞及時(shí)處理，天不會(huì)塌下來(lái)，不重視安全漏洞，不及時(shí)修補(bǔ)才是致命的?！?/P>

　　一位長(zhǎng)期從事編程工作的王先生告訴新快報(bào)記者，當(dāng)當(dāng)網(wǎng)這次出現(xiàn)的漏洞是屬于低級(jí)錯(cuò)誤，“即使是一個(gè)業(yè)余愛(ài)好者也能通過(guò)復(fù)制地址發(fā)現(xiàn)問(wèn)題?！彼硎?，一般這種用戶信息是不應(yīng)該出現(xiàn)在地址上的，而應(yīng)該加密，但可能由于加密耗費(fèi)的時(shí)間成本不少，所以一般網(wǎng)站很少做到，“但沒(méi)想到像當(dāng)當(dāng)網(wǎng)這么大的電商也不對(duì)資料加密?！?/P>

　　而接獲報(bào)告當(dāng)日，當(dāng)當(dāng)網(wǎng)稱已于當(dāng)天上午對(duì)漏洞進(jìn)行了修復(fù)，并表示，經(jīng)過(guò)系統(tǒng)日志檢查，不存在大量用戶信息被泄露的情況。

　　曾數(shù)次藐視漏洞報(bào)告

　　事實(shí)上，當(dāng)當(dāng)網(wǎng)并不是第一次被發(fā)現(xiàn)有漏洞。據(jù)烏云漏洞負(fù)責(zé)人方先生介紹，此前最少兩次發(fā)現(xiàn)當(dāng)當(dāng)網(wǎng)的系統(tǒng)中存在漏洞，但經(jīng)過(guò)聯(lián)系，當(dāng)當(dāng)網(wǎng)并未給予任何回應(yīng)。方先生介紹說(shuō)，在烏云漏洞上，一般報(bào)告是由網(wǎng)友提供的，而平臺(tái)會(huì)先把報(bào)告放在后臺(tái)，在確認(rèn)漏洞和通知電商處理后，才會(huì)公布報(bào)告，“一般漏洞報(bào)告都應(yīng)該在修復(fù)后才公布的”，方先生認(rèn)為這樣可以避免漏洞造成系統(tǒng)崩潰或泄漏信息。但事實(shí)上，并不是每個(gè)電商都重視漏洞，他表示，正是由于當(dāng)當(dāng)網(wǎng)對(duì)此前的漏洞報(bào)告一直沒(méi)有回應(yīng)，因此才選擇在漏洞修復(fù)前公開(kāi)報(bào)告，并想借此引起當(dāng)當(dāng)網(wǎng)對(duì)安全問(wèn)題的重視。

　　記者在該平臺(tái)上看到，網(wǎng)站公布的每一個(gè)漏洞信息均有一個(gè)列表，上面清晰地注明漏洞類型、危害等級(jí)以及漏洞狀態(tài)等信息，而在當(dāng)當(dāng)網(wǎng)的漏洞狀態(tài)一欄顯示“未聯(lián)系到廠商或者廠商積極忽略”。

　　記者通過(guò)平臺(tái)查閱發(fā)現(xiàn)，除這次公布的漏洞外，當(dāng)當(dāng)網(wǎng)還曾被發(fā)現(xiàn)“當(dāng)當(dāng)網(wǎng)收藏管理XSS漏洞”、“當(dāng)當(dāng)網(wǎng)多處存儲(chǔ)型XSS漏洞”、“當(dāng)當(dāng)網(wǎng)用戶隱私泄露漏洞”等，王先生告訴記者，第一個(gè)漏洞也是可讓“有心人”通過(guò)在地址欄插入應(yīng)用程序盜取用戶信息，“這種漏洞甚至能泄露用戶密碼等更為機(jī)密的信息?！倍谠搱?bào)告的回應(yīng)欄中也顯示“未能聯(lián)系到廠商或者廠商積極拒絕?！庇浾呔痛酥码姰?dāng)當(dāng)網(wǎng)公關(guān)部經(jīng)理葉小舟，詢問(wèn)上述漏洞是否也已經(jīng)解決，但截至交稿，仍未收到任何回應(yīng)。

　　鏈接 京東商城、凡客誠(chéng)品均曾現(xiàn)系統(tǒng)漏洞

　　據(jù)方先生介紹，烏云漏洞是由一群對(duì)網(wǎng)絡(luò)安全感興趣的IT人于2010年7月建立，但建站才一年多，發(fā)現(xiàn)的漏洞已經(jīng)超過(guò)3000個(gè)了。通過(guò)平臺(tái)提供的公開(kāi)信息可以發(fā)現(xiàn)，京東商城、163郵箱、搜狐微博等都曾經(jīng)有不同程度的系統(tǒng)漏洞，而凡客誠(chéng)品也曾經(jīng)出現(xiàn)如當(dāng)當(dāng)網(wǎng)這種用戶信息泄露的程序漏洞。

　　方先生認(rèn)為，在編程中出現(xiàn)漏洞是在所難免的，但現(xiàn)在問(wèn)題是，有的電商對(duì)漏洞并不關(guān)心，“像當(dāng)當(dāng)網(wǎng)這種已上市的大型電商，在這方面履行責(zé)任實(shí)在做得不足夠?！倍聦?shí)上，從記者查詢的資料看，目前我國(guó)仍沒(méi)建立一個(gè)程序漏洞監(jiān)控的第三方平臺(tái)，監(jiān)管仍存在大片空白。

　　不過(guò)，有網(wǎng)友認(rèn)為，烏云漏洞這種反映問(wèn)題的做法與“逼宮”無(wú)異，“當(dāng)當(dāng)網(wǎng)確實(shí)罪不可赦，但是烏云公開(kāi)這個(gè)漏洞，無(wú)疑將該漏洞的危險(xiǎn)放大N倍……這樣確實(shí)給了當(dāng)當(dāng)網(wǎng)壓力，但是也將幾千萬(wàn)的用戶置于更大的風(fēng)險(xiǎn)中?！?/P>

　　中國(guó)政法大學(xué)知識(shí)產(chǎn)權(quán)中心研究員趙占領(lǐng)表示，目前，《中華人民共和國(guó)侵權(quán)責(zé)任法》對(duì)公民的隱私權(quán)有明確保護(hù)，而《刑法》也規(guī)定了泄漏個(gè)人信息可能要承擔(dān)刑事責(zé)任，消費(fèi)者遇到上述情況時(shí)可以通過(guò)民事、刑事途徑維權(quán)，但關(guān)鍵是證據(jù)比較難收集，尤其像當(dāng)當(dāng)網(wǎng)這個(gè)情況，消費(fèi)者可能還沒(méi)來(lái)得及保留證據(jù)、進(jìn)行公證，當(dāng)當(dāng)網(wǎng)就已經(jīng)采取了技術(shù)應(yīng)對(duì)措施。以此來(lái)看，網(wǎng)絡(luò)漏洞的監(jiān)控與管理仍需靠電商的自覺(jué)，不過(guò)趙占領(lǐng)同時(shí)透露，目前工信部正在牽頭制定關(guān)于個(gè)人信息保護(hù)的首個(gè)國(guó)家標(biāo)準(zhǔn)，目前該標(biāo)準(zhǔn)還沒(méi)頒布。