| 开启辅助访问 DIY
打印 上一主题 下一主题

[其他] 澳洲邮政的Click & Send网上服务包含重大漏洞,曝光后方采取行动

[复制链接]
跳转到指定楼层
楼主
yangben168 发表于 2012-10-2 18:29:38
180 1
本帖最后由 yangben168 于 2012-10-2 18:29 编辑

澳洲邮政(Australia Post )网站上的安全漏洞有可能暴露顾客隐私,而在接到群众举报后,邮政公司坚称用户没有聪明到发现纰漏的程度。

只需要简单改变url网址,那些使用过澳洲邮政"Click & Send"服务的顾客姓名和地址就暴露无遗。

该漏洞可能触犯了澳洲隐私法条例。

新闻集团此前接到某澳洲邮政的顾客Trent Bourne的举报,这位23岁的网管来自悉尼Homebush,此前已经三度就此问题警告过邮政公司了。

“第一次他们跟我说:‘哦,我们的顾客不像你那么聪明,永远不会发现这个小纰漏。’”

而接下来的两次举报都被公司直接无视了。

在新闻集团联络澳洲邮政之后,这项服务才被暂时中止,漏洞也无法被利用了。

在Click & Send网上服务的最后一步,等用户登录帐户并选好要邮递的物品时,系统会要求他们打印一张贴在包裹上的标签。

这时会弹出一个包含有票据信息的窗口。

想要看到其他用户的信息,只需要将该窗口地址栏的最后6位用户编码改为随机数字并按回车键,页面将会刷新并显示出其他用户的姓名和地址,还有包裹的接收者。用户只需要改变一到两位数字就能轻易看到其他用户的票据。

该小票还包含有物品和序列号,可以用来盗取用户帐号内所包含的信用卡信息。

操作非常简单,就算新闻集团的小编也能如法炮制。

虽然该纰漏无法盗取特定顾客的信息,但能够通过随机搜索而获得大量用户情报。

澳洲邮政对新闻集团表示,Click & Send服务已经“因为系统故障而暂时中止。”

“使用该服务的顾客已经接到从网站发出的通知。”

“我们的团队正在升级系统以保障所有顾客的隐私安全。”

“我们希望该服务能尽快恢复运作。”

“澳洲邮政希望使用Click & Send服务的顾客安心,目前为止还没有用户财产受损。”

“想要邮寄包裹的顾客请前往当地的邮局。”

澳洲邮政称他们没收到过Bourne先生的投诉。

记者已经联系了澳洲信息专员,希望得到对事件的评论。

来源:http://www.news.com.au/technolog ... rfro0-1226486564175

by Gracefang

收藏收藏 分享分享
沙发
 楼主| yangben168 发表于 2012-10-2 23:07:50
lvronaldo 发表于 2012-10-2 21:58

回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

〓 服务信息 | 推荐服务 〓

Copyright @ 2017 OZYOYO.com. All rights reserved.

分享本页

客服号

公众号