eBay被曝網購記錄漏洞 用戶隱私安全面臨挑戰
責編:admin |2014-07-25 12:48:38據InternetRetailer 7月23日報道,美國電子商務平臺eBay近日被爆出系統存在漏洞。兩名來自紐約大學的研究人員稱,該漏洞使得eBay的訪問者可查看他人的購物記錄。而其中就包括了一些如個人遠程體檢信息等敏感信息,而這也意味著在eBay上,個人隱私的底線正在面臨挑戰。
報道提到,在“買家反饋”這一頁面內,用戶可閱覽由賣家提供他人購買的反饋,而這一切都是公開的。訪問者甚至不用注冊登陸eBay就可以輕松獲取這些信息,這些信息詳細到用戶的購買時間及用戶名。盡管該頁面并未泄露具體的購物商品,但在比對“賣家反饋”頁面中的購買時間記錄后可以準確核對出顧客曾購買的具體商品。研究人員還稱,即便在同一時間有多筆交易,在通過一定的技術手段后依舊可以獲取想要獲取的信息。
現行eBay在銷售記錄中采用匿名的形式記錄顧客的數據,但在通過一定的算法之后,便可基本準確匹配得到每一宗交易的用戶名及具體商品等信息。在此前的一項擁有5580條反饋記錄的數據庫測試中,研究人員借助公式達到了高達96%的匹配正確率。在特定的情形之下,研究人員可以盡可能多的獲取買家信息。他們曾將在一份數據庫中的131000個用戶名中的17%相關聯,借此可以泄露出更多買家的信息。
據此情況,研究人員表示他們已經正式通報 eBay該漏洞并向eBay建議彌補漏洞的措施,但遺憾的是eBay目前還未做出改變。eBay新聞發言人對此表示,報道中的漏洞是“極其不準確的”,并稱“我們的購物平臺具有很高的透明度的平臺,而此種透明創造出了信任。在現行的機制下,除非用戶主動泄露用戶ID,沒人能分辨其交易記錄。為防止有第三方組織通過社交平臺蓄意跟蹤,用戶只要不采用與真名類似的用戶名,他們的安全是可以得到保障的” 。
研究人員中一名紐約大學計算機科學與工程系博士學位候選人明庫斯則就此再度回應否認了eBay平臺安全的可靠性。“盡管編輯整理一些有關孕婦或遠程HIV體檢的數據對于特定群體是有益的但就此產生的影響是難以估量的。”
研究人員還以購買槍支配件的顧客群為例證實系統存在隱患。數據顯示在購買槍支配件中大約22萬的顧客就有3萬多人可根據eBay賬戶追蹤至其Facebook 賬戶。
這也側面證實了,警方可以借助這一漏洞調查未注冊槍支的持有人或相關組織的私人信息。“eBay方面可以采取簡單的措施彌補該漏洞。”明庫斯與其合伙人表示平臺可以改變“賣家反饋”頁面的默認設定,使得評論依舊公開但其實際購買物品的記錄不會與買家和賣家頁面相關聯。