eBay被曝网购记录漏洞 用户隐私安全面临挑战

admin 2022年6月27日09:14:00安全新闻评论3 views1349字阅读4分29秒阅读模式

据InternetRetailer 7月23日报道,美国电子商务平台eBay近日被爆出系统存在漏洞。两名来自纽约大学的研究人员称,该漏洞使得eBay的访问者可查看他人的购物记录。而其中就包括了一些如个人远程体检信息等敏感信息,而这也意味着在eBay上,个人隐私的底线正在面临挑战。


eBay被曝网购记录漏洞 用户隐私安全面临挑战


报道提到,在“买家反馈”这一页面内,用户可阅览由卖家提供他人购买的反馈,而这一切都是公开的。访问者甚至不用注册登陆eBay就可以轻松获取这些信息,这些信息详细到用户的购买时间及用户名。尽管该页面并未泄露具体的购物商品,但在比对“卖家反馈”页面中的购买时间记录后可以准确核对出顾客曾购买的具体商品。研究人员还称,即便在同一时间有多笔交易,在通过一定的技术手段后依旧可以获取想要获取的信息。


  现行eBay在销售记录中采用匿名的形式记录顾客的数据,但在通过一定的算法之后,便可基本准确匹配得到每一宗交易的用户名及具体商品等信息。在此前的一项拥有5580条反馈记录的数据库测试中,研究人员借助公式达到了高达96%的匹配正确率。在特定的情形之下,研究人员可以尽可能多的获取买家信息。他们曾将在一份数据库中的131000个用户名中的17%相关联,借此可以泄露出更多买家的信息。


据此情况,研究人员表示他们已经正式通报 eBay该漏洞并向eBay建议弥补漏洞的措施,但遗憾的是eBay目前还未做出改变。eBay新闻发言人对此表示,报道中的漏洞是“极其不准确的”,并称“我们的购物平台具有很高的透明度的平台,而此种透明创造出了信任。在现行的机制下,除非用户主动泄露用户ID,没人能分辨其交易记录。为防止有第三方组织通过社交平台蓄意跟踪,用户只要不采用与真名类似的用户名,他们的安全是可以得到保障的” 。


  研究人员中一名纽约大学计算机科学与工程系博士学位候选人明库斯则就此再度回应否认了eBay平台安全的可靠性。“尽管编辑整理一些有关孕妇或远程HIV体检的数据对于特定群体是有益的但就此产生的影响是难以估量的。”


  研究人员还以购买枪支配件的顾客群为例证实系统存在隐患。数据显示在购买枪支配件中大约22万的顾客就有3万多人可根据eBay账户追踪至其Facebook 账户。


  这也侧面证实了,警方可以借助这一漏洞调查未注册枪支的持有人或相关组织的私人信息。“eBay方面可以采取简单的措施弥补该漏洞。”明库斯与其合伙人表示平台可以改变“卖家反馈”页面的默认设定,使得评论依旧公开但其实际购买物品的记录不会与买家和卖家页面相关联。

----------------------------------

梆梆安全 是国内领先的APP安全服务厂商,主要为移动应用提供“一站式”防篡改保护,防反编译保护,防注入保护,防数据窃取保护。梆梆安全一直专注致力于移动应用安全技术研究,并推出了在线APP加密,加固助手——梆梆助手,梆梆安全黑盒子APP安全加固服务。目前已服务国内开发者3万多个,保护APP数量达到17万多个,使得中国4个多亿手机用户免遭病毒威胁。欢迎转发本条信息到朋友圈,分享给你的朋友。合作:[email protected]

点击右上角按钮,可关注我分享文本


原文始发于微信公众号(梆梆安全):eBay被曝网购记录漏洞 用户隐私安全面临挑战

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月27日09:14:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  eBay被曝网购记录漏洞 用户隐私安全面临挑战 http://cn-sec.com/archives/1118097.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: