澳邮政网上服务被曝存隐私安全漏洞
2012年10月07日 11:00
【看中国讯】澳洲邮政(Australia Post)近日被曝其网站存在可能危及客户隐私的安全漏洞。曾有客户对其投诉,但被告知用户没聪明到能够发现纰漏的程度。目前该漏洞已被修复,但URL网址中包含了客户的用户名。
根据新闻网站的报道,只需要简单改变url网址,就能看到那些使用过澳洲邮政“Click & Send”服务的顾客的姓名和地址。这一漏洞可能触犯了澳洲的隐私法条例。
按照网站功能设计,在Click & Send网上服务的最后一步,当用户登录账户并选好要邮递的物品时,会被要求打印一张贴在包裹上的标签。这时,网页会弹出一个包含有票据信息的窗口。如果想要看到其他用户的信息,只需要将该窗口地址栏的最后6位用户编码改为随机数字并按下回车键,页面就会刷新并显示出其他用户的姓名和地址,以及包裹接收者的信息。这些票据上的物品和序列号,可以用来盗取用户帐号内包含的信用卡信息。
在新闻有限公司联系澳洲邮政后,该功能一度被取消。之后又重新恢复,并称漏洞已经修复。但新闻公司发现,URL网址中包含了客户的用户名。
新闻有限公司就曾接到过澳洲邮政客户布尔纳(Trent Bourne)的投诉,这位23岁来自悉尼Homebush的网络管理员称他已经就此问题三次警告过澳洲邮政公司了。“第一次他们跟我说‘哦,我们的顾客不像你那么聪明,永远不会发现这个小纰漏’。”而接下来的两次投诉都被搁置一边。
澳洲邮政坚称他们从没收到过布尔纳的投诉。新闻公司的记者已经联系了澳洲信息监察专员,希望能够得到对该事件的评论。
来源:看中国