珀斯BBS-珀斯论坛_珀斯租房_珀斯中文网_珀斯华人社区_信息平台_信息帮转_Perthbbs.com中文网
标题:
澳洲邮政的Click & Send网上服务包含重大漏洞,曝光后方采取行动
[打印本页]
作者:
yangben168
时间:
2012-10-2 18:29
标题:
澳洲邮政的Click & Send网上服务包含重大漏洞,曝光后方采取行动
本帖最后由 yangben168 于 2012-10-2 18:29 编辑
澳洲邮政(Australia Post )网站上的安全漏洞有可能暴露顾客隐私,而在接到群众举报后,邮政公司坚称用户没有聪明到发现纰漏的程度。
只需要简单改变url网址,那些使用过澳洲邮政"Click & Send"服务的顾客姓名和地址就暴露无遗。
该漏洞可能触犯了澳洲隐私法条例。
新闻集团此前接到某澳洲邮政的顾客Trent Bourne的举报,这位23岁的网管来自悉尼Homebush,此前已经三度就此问题警告过邮政公司了。
“第一次他们跟我说:‘哦,我们的顾客不像你那么聪明,永远不会发现这个小纰漏。’”
而接下来的两次举报都被公司直接无视了。
在新闻集团联络澳洲邮政之后,这项服务才被暂时中止,漏洞也无法被利用了。
在Click & Send网上服务的最后一步,等用户登录帐户并选好要邮递的物品时,系统会要求他们打印一张贴在包裹上的标签。
这时会弹出一个包含有票据信息的窗口。
想要看到其他用户的信息,只需要将该窗口地址栏的最后6位用户编码改为随机数字并按回车键,页面将会刷新并显示出其他用户的姓名和地址,还有包裹的接收者。用户只需要改变一到两位数字就能轻易看到其他用户的票据。
该小票还包含有物品和序列号,可以用来盗取用户帐号内所包含的信用卡信息。
操作非常简单,就算新闻集团的小编也能如法炮制。
虽然该纰漏无法盗取特定顾客的信息,但能够通过随机搜索而获得大量用户情报。
澳洲邮政对新闻集团表示,Click & Send服务已经“因为系统故障而暂时中止。”
“使用该服务的顾客已经接到从网站发出的通知。”
“我们的团队正在升级系统以保障所有顾客的隐私安全。”
“我们希望该服务能尽快恢复运作。”
“澳洲邮政希望使用Click & Send服务的顾客安心,目前为止还没有用户财产受损。”
“想要邮寄包裹的顾客请前往当地的邮局。”
澳洲邮政称他们没收到过Bourne先生的投诉。
记者已经联系了澳洲信息专员,希望得到对事件的评论。
来源:
http://www.news.com.au/technolog ... rfro0-1226486564175
by Gracefang
作者:
yangben168
时间:
2012-10-2 23:07
lvronaldo 发表于 2012-10-2 21:58
欢迎光临 珀斯BBS-珀斯论坛_珀斯租房_珀斯中文网_珀斯华人社区_信息平台_信息帮转_Perthbbs.com中文网 (http://ded2079.smartservers.com.au/)
Powered by Discuz! X3.2