|
报道提到,在“买家反馈”这一页面内,用户可阅览由卖家提供他人购买的反馈,而这一切都是公开的。
访问者甚至不用注册登陆eBay就可以轻松获取这些信息,这些信息详细到用户的购买时间及用户名。尽管该页面并未泄露具体的购物商品,但在比对“卖家反馈”页面中的购买时间记录后可以准确核对出顾客曾购买的具体商品。研究人员还称,即便在同一时间有多笔交易,在通过一定的技术手段后依旧可以获取想要获取的信息。
现行eBay在销售记录中采用匿名的形式记录顾客的数据,但在通过一定的算法之后,便可基本准确匹配得到每一宗交易的用户名及具体商品等信息。
在此前的一项拥有5580条反馈记录的数据库测试中,研究人员借助公式达到了高达96%的匹配正确率。在特定的情形之下,研究人员可以尽可能多的获取买家信息。他们曾将在一份数据库中的131000个用户名中的17%相关联,借此可以泄露出更多买家的信息。
据此情况,研究人员表示他们已经正式通报 eBay该漏洞并向eBay建议弥补漏洞的措施,但遗憾的是eBay目前还未做出改变。eBay新闻发言人对此表示,报道中的漏洞是“极其不准确的”,并称“我们的购物平台具有很高的透明度的平台,而此种透明创造出了信任。
在现行的机制下,除非用户主动泄露用户ID,没人能分辨其交易记录。为防止有第三方组织通过社交平台蓄意跟踪,用户只要不采用与真名类似的用户名,他们的安全是可以得到保障的” 。
研究人员中一名纽约大学计算机科学与工程系博士学位候选人明库斯则就此再度回应否认了eBay平台安全的可靠性。“尽管编辑整理一些有关孕妇或远程HIV体检的数据对于特定群体是有益的但就此产生的影响是难以估量的。”
研究人员还以********配件的顾客群为例证实系统存在隐患。数据显示在********配件中大约22万的顾客就有3万多人可根据eBay账户追踪至其Facebook 账户。
这也侧面证实了,警方可以借助这一漏洞调查未注册枪支的持有人或相关组织的私人信息。“eBay方面可以采取简单的措施弥补该漏洞。”明库斯与其合伙人表示平台可以改变“卖家反馈”页面的默认设定,使得评论依旧公开但其实际购买物品的记录不会与买家和卖家页面相关联。
|
|