怎么看待苏宁易购长期存在低级安全漏洞?

2016-03-24 00:48:47 +08:00
 Jacksgong

首先这个问题挺困扰的,已经困扰一大批受害用户,我们先从苏宁存在的漏洞出发,希望大家各持己见,来看看这个问题,以及为什么这么严重的事情,为什么除了乌云以及搞安全的人知道,无论维权人事怎么推动,社会的人却知之甚少。

苏宁的各种低级安全漏洞层出不穷:

我相信只要稍微关注互联网安全的人,都有所了解,我就只列举一二比较有权威支持的。

1. 苏宁用户信息泄露漏洞被证实

该问题拓展另外的泄漏: 苏宁易付宝钱包 IOS 客户端存在账户越权可泄漏任意用户姓名 /银行卡号 /手机号等

因为这种受骗的,我们已经不再提及,因为整个互联网界,只要稍动手脚,要获得用户信息台阶很低,我相信除去苏宁以外所有公司都有可能有类似的问题,因为漏洞是永远存在的,只是是否足够复杂,足够隐蔽。完全是用户智商判断能力,决定是否受骗。

2. 如何看待苏宁易购 APP 源码泄露?苏宁易购 Android 客户端用户已进入裸奔状态,可泄露“内裤”

我目前是 Android 开发,看到这些我实在是无言以对。

这些直接通过抓包, 所有信息都是明文,并且可以随意篡改,用户根本在不知不觉中就可以被盗取资金(相关说明直接看上面乌云的链接吧),我甚至可以用业余的 OpenWrt 简单搞个路由器,直接搞个脚本抓包篡改,用户资金安全淡然无存。请注意这是一款交易平台 App

其实遇到问题不可怕,可怕的是在出现问题了,不知道问题的严重性,根据乌云中的流程状态,苏宁对安全实在是不重视。

苏宁易购还有各种低级漏洞,这里就一一报了,2016 年刚过去 3 个月,苏宁易购在乌云上被爆的已经多达 20 个: WooYun-苏宁易购厂家信息

今天要提的不是上面已经爆出了的漏洞,而是我昨天刚刚同步给乌云工作人员的新的爆出来的安全风控漏洞 (报漏洞的群无法证明是乌云,贴了这个图,相信参加了 2015 年乌云大会的朋友都有在这个群里):

这个问题的重点:

  1. 这个漏洞导致用户资金损失到目前苏宁对这个漏洞的修复情况

  2. 苏宁对待这个漏洞导致的受害用户的处理方法

这个漏洞是什么

任性宝的类似的漏洞,有兴趣的朋友可以到知乎看: 苏宁易购账户可能已被泄露,在我没做任何操作的情况下被开通了任性付,盗刷了 4472 元,我该如何维权?

苏宁易付宝的这个漏洞我在知乎这篇文章有详细的阐述,并且有各类举证,我自己是受害者之一,这里就不描述过程,要看过程与举证的,可以看这里: 苏宁这么一家没有责任感,并且视用户资金安全为草菅的公司,为何估价还能蹭蹭上涨?

  1. 苏宁易购在绑定了快捷支付的情况下,还允许通过一个陌生人认证、快捷支付绑定手机号码对应不上的 易支付账户绑定
  2. 在这种情况下(我也没有被通知并未知苏宁易购可以未验证扣款的,支付宝与京东是需要的),苏宁的扣款没有任何验证短信信息

这个漏洞导致每天都有像我这样的人莫名其妙的中招了。并且偷盗者的信息(绑定手机、身份证认证、提现记录等)苏宁全都有,提现记录苏宁都有,最后就是不承认,就是刁难受害用户

今天我被拉进了几个群,都是被这些漏洞坑,维权无门的。

接下来是重点

1. 这个漏洞导致用户资金损失到目前苏宁对这个漏洞的修复情况

这个漏洞从苏宁信息泄漏案件之后(2015 年 12 月)开始,就逐渐暴露出来,每天都有新用户因为这些漏洞资金上被盗走。而苏宁至今为对该漏洞进行修复。 (他们可能把心思放到了公关,而对于安全这块非常不重视)注意现在依然存在!

2. 苏宁对待这个漏洞导致的受害用户的处理方法

苏宁对待这个漏洞导致的问题,对于用户是非常刁难,而且这个刁难是递进的,之所以是递进的,苏宁在刚开始给用户发的邮件是这样子的:

P.S: 可以通过下面的链接直接看知乎上的原文。

尊敬的客户,您好!
请按邮件要求提供
1.《本人声明》:须真实准确的将事实经过表述完整,同时本人须亲笔签名并对声明真实性负责,具体模板可参见附件;
2.报案回执或其替代性文件,其中替代性文件须包括但不限于以下要素:公安机关公章、报案人、报案时间、报案地点、报案事由、接待警察联系方式,具体替代性文件种类包括但不限于报案笔录、接处警登记表等;
3.上述两份文件材料可以照片或扫描件形式,作为附件回复至该邮箱;
4.我司接到相关材料后,会由专人尽快审核并回复您。
苏宁消费金融公司
风险管理部

作者:师力
链接: https://www.zhihu.com/question/38280719/answer/80876194
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

到我遇到的那时候,不断联系以后,一天过后慢悠悠的给过来百般刁难的邮件信息:

我看到这邮件以后,我直接与苏宁联系,说我在上海,可以直接到你们的分部配合你们做所有的审核,因为是你们给我带来的损失,希望也能派出人员,而不是一味为难用户,....得不到答复 2333。细节: 苏宁请担起你作为互联网企业责任,让用户还敢用你

P.S: 其实我对我的 1500 元被追不追的回已经不抱太大希望(只要苏宁肯作为,所有数据都在苏宁后台,配合警方,我也会配合,那么难点在哪里?这些用户不值一提?),只是太看不过了。

在这里我确有维权的意味,因为维权无门嘛,中国还存在这样有恃无恐,践踏用户资金安全的公司,但是最后还是希望听听大家对于这家公司的看法

5677 次点击
所在节点    问与答
6 条回复
crab
2016-03-24 01:34:52 +08:00
苏宁把安全的钱节约用去买特谢拉了。
wwqgtxx
2016-03-24 08:10:27 +08:00
反正现在可以直接在天猫上买苏宁易购的东西了,所以他自己的平台慢慢的也就不用管了
网购,还是马云家的平台考虑(虽然手机淘宝 app 优化的像一坨翔)
Jacksgong
2016-03-24 08:35:28 +08:00
gg ,上面的苏宁易购乌云漏洞的链接竟然打不开。

谷歌搜索: `苏宁易购 site:wooyun.org` 第一个结果就是:

http://www.wooyun.org/corps/%E6%B1%9F%E8%8B%8F%E8%8B%8F%E5%AE%81%E6%98%93%E8%B4%AD%E7%94%B5%E5%AD%90%E5%95%86%E5%8A%A1%E6%9C%89%E9%99%90%E5%85%AC%E5%8F%B8



![]( http://7xs3ea.com1.z0.glb.clouddn.com/Screen%20Shot%202016-03-24%20at%208.33.18%20AM.png)
![]( http://7xs3ea.com1.z0.glb.clouddn.com/Screen%20Shot%202016-03-24%20at%208.33.26%20AM.png)
![]( http://7xs3ea.com1.z0.glb.clouddn.com/Screen%20Shot%202016-03-24%20at%208.33.35%20AM.png)
vincentxue
2016-03-24 09:35:01 +08:00
楼主在不少地方都发了贴了吧,感觉都不温不火啊。为什么不较下真,咨询律师告他呢?
mailunion
2016-03-24 09:45:23 +08:00
国内的网站很大一部分就是垃圾,界面丑陋、字体不好看、最恶心的是家家做支付,账号不互通、不能自主删除。
woyaojizhu8
2016-03-26 19:01:56 +08:00
苏宁是最大的线上线下一体的电器商场了吧……也这么不可靠

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/265915

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX