Walmart.ca网站现bug，用户信息泄露风险大

Walmart.ca用户信息恐遭泄露

近日，加拿大Walmart.ca网站出现了bug，部分用户反映订单的详细信息全部在网站显示了出来，信息泄露风险极大。

在Walmart.ca网站上我们可以看到一些订单示例，安大略省一台价值1500美元的笔记本电脑、萨斯喀彻温省一辆价值700美元的自行车和不列颠哥伦比亚省价值1100多美元的婴儿用品订单上，一位用户的姓名、运输和账单地址、订单日期、付款方式以及所使用的信用卡的最后四位数都被显示了出来。

一名从事IT工作的用户Bhatia发现了这一漏洞，并就此问题与加拿大沃尔玛（Walmart Canada）联系，但均以失败告终。于是他与CTVNews.ca取得联系，并向CTVNews.ca演示了，当他登录到自己的Walmart.ca帐户后如何通过常规网页访问属于其他客户的信息和订单。并且这些步骤可以被轻松复制并在全国范围内调用大量的客户订单。

据悉，暴露的信息包括完整的客户名称、帐单邮寄地址、产品是送货到家庭地址还是沃尔玛店内提货地点，还能查看订单是否使用Visa、Mastercard、Amex或PayPal付款。

CTVNews.ca就该问题联系了沃尔玛加拿大公司，这引起了沃尔玛的注意。沃尔玛加拿大公司发言人Adam Grachnik在一封电子邮件声明中说：“我们非常重视客户隐私，并制定了许多安全协议来保护它。今天这一问题引起了我们的注意，并且出于谨慎考虑我们立即禁用了该网页。我们正在进一步调查此事。”

与亚马逊相比，沃尔玛网站安全性能不高

网络安全专家Stevens在电话采访中称，此次沃尔玛出现的情况是造成数据泄露的高度敏感的例子。

据悉，CTVNews.ca在Amazon.ca上尝试了类似的步骤，但没有暴露用户的任何敏感信息。显然亚马逊在保护用户信息方面做得更多也更好。在进行自动Web应用程序安全性测试的immuniweb.com网站上，Walmart.ca的得分为B，分数在60到69之间，相比之下，Amazon.ca的得分为A，得分在90到99之间。

沃尔玛有关政策规定， 沃尔玛采取“漏洞披露的激励政策”，但可酌情决定个人是否有资格获得奖金补偿。相比之下，亚马逊的激励措施很明确，根据发现的漏洞的严重程度，支付的费用从100美元到15000美元不等。还是漏洞赏金计划专家的Stevens指出，尽管沃尔玛公司有“漏洞披露政策”，沃尔玛也不会激励黑客寻找漏洞，因为这将造成网站被发现非常多的漏洞。

此外，相比亚马逊，沃尔玛处理网站漏洞的周期也非常漫长。据openbugbounty.org数据显示，2017年有人在沃尔玛墨西哥网站上发现漏洞，沃尔玛公司花了6个月的时间对其进行修复。根据Hackerone的数据，Amazon响应和解决问题的平均时间为22天。

对于沃尔玛来说，认真对待和解决网站安全问题非常重要，这不仅是因为沃尔玛有义务，还因为它给客户带来了风险。