日前，第三方安全問題反饋平臺“烏云漏洞”通過微博發布信息稱，當當網由于設計缺陷可導致用戶資料泄露，僅兩天，就已經引來了數百名網友轉發及評論。雖然當當網在消息公布當天就馬上對漏洞進行處理，并稱“技術人員在10分鐘內立即進行了修復”，但一件10分鐘就能完成的事為何會鬧得滿城風雨？“烏云漏洞”負責人方先生向新快報記者表示，公布當當網漏洞信息主要是因為此前當當網對漏洞毫不重視，因此平臺選擇公開信息借以引起當當網對安全問題的重視。

　　漏洞可泄露數萬個用戶信息

　　根據烏云漏洞發布的報告描述，用戶只要在登錄后，按步驟修改特定的網址就可得到全部當當網收件人的地址、姓名及聯系方式，報告者在詳情描述中稱漏洞是由于“某處設計不當，不能過于詳細，太容易發現了”。

　　漏洞公布后，有網友還親自驗證了該信息的真偽，并證實當當網漏洞可以抓取到共4000多萬個地址信息。不少業內人士也參與了討論，其中北京市活力天匯科技有限公司產品事業部總經理 史冊偉發微博表示“這個烏龍也太大了吧？傳值沒問題，但居然不判斷address id的所有權是否屬于當前用戶！”而金山網絡反病毒工程師李鐵軍則轉發微博表示，“有漏洞及時處理，天不會塌下來，不重視安全漏洞，不及時修補才是致命的。”

　　一位長期從事編程工作的王先生告訴新快報記者，當當網這次出現的漏洞是屬于低級錯誤，“即使是一個業余愛好者也能通過復制地址發現問題。”他表示，一般這種用戶信息是不應該出現在地址上的，而應該加密，但可能由于加密耗費的時間成本不少，所以一般網站很少做到，“但沒想到像當當網這么大的電商也不對資料加密。”

　　而接獲報告當日，當當網稱已于當天上午對漏洞進行了修復，并表示，經過系統日志檢查，不存在大量用戶信息被泄露的情況。

　　曾數次藐視漏洞報告

　　事實上，當當網并不是第一次被發現有漏洞。據烏云漏洞負責人方先生介紹，此前最少兩次發現當當網的系統中存在漏洞，但經過聯系，當當網并未給予任何回應。方先生介紹說，在烏云漏洞上，一般報告是由網友提供的，而平臺會先把報告放在后臺，在確認漏洞和通知電商處理后，才會公布報告，“一般漏洞報告都應該在修復后才公布的”，方先生認為這樣可以避免漏洞造成系統崩潰或泄漏信息。但事實上，并不是每個電商都重視漏洞，他表示，正是由于當當網對此前的漏洞報告一直沒有回應，因此才選擇在漏洞修復前公開報告，并想借此引起當當網對安全問題的重視。

　　記者在該平臺上看到，網站公布的每一個漏洞信息均有一個列表，上面清晰地注明漏洞類型、危害等級以及漏洞狀態等信息，而在當當網的漏洞狀態一欄顯示“未聯系到廠商或者廠商積極忽略”。

　　記者通過平臺查閱發現，除這次公布的漏洞外，當當網還曾被發現“當當網收藏管理XSS漏洞”、“當當網多處存儲型XSS漏洞”、“當當網用戶隱私泄露漏洞”等，王先生告訴記者，第一個漏洞也是可讓“有心人”通過在地址欄插入應用程序盜取用戶信息，“這種漏洞甚至能泄露用戶密碼等更為機密的信息。”而在該報告的回應欄中也顯示“未能聯系到廠商或者廠商積極拒絕。”記者就此致電當當網公關部經理葉小舟，詢問上述漏洞是否也已經解決，但截至交稿，仍未收到任何回應。

　　鏈接 京東商城、凡客誠品均曾現系統漏洞

　　據方先生介紹，烏云漏洞是由一群對網絡安全感興趣的IT人于2010年7月建立，但建站才一年多，發現的漏洞已經超過3000個了。通過平臺提供的公開信息可以發現，京東商城、163郵箱、搜狐微博等都曾經有不同程度的系統漏洞，而凡客誠品也曾經出現如當當網這種用戶信息泄露的程序漏洞。

　　方先生認為，在編程中出現漏洞是在所難免的，但現在問題是，有的電商對漏洞并不關心，“像當當網這種已上市的大型電商，在這方面履行責任實在做得不足夠。”而事實上，從記者查詢的資料看，目前我國仍沒建立一個程序漏洞監控的第三方平臺，監管仍存在大片空白。

　　不過，有網友認為，烏云漏洞這種反映問題的做法與“逼宮”無異，“當當網確實罪不可赦，但是烏云公開這個漏洞，無疑將該漏洞的危險放大N倍……這樣確實給了當當網壓力，但是也將幾千萬的用戶置于更大的風險中。”

　　中國政法大學知識產權中心研究員趙占領表示，目前，《中華人民共和國侵權責任法》對公民的隱私權有明確保護，而《刑法》也規定了泄漏個人信息可能要承擔刑事責任，消費者遇到上述情況時可以通過民事、刑事途徑維權，但關鍵是證據比較難收集，尤其像當當網這個情況，消費者可能還沒來得及保留證據、進行公證，當當網就已經采取了技術應對措施。以此來看，網絡漏洞的監控與管理仍需靠電商的自覺，不過趙占領同時透露，目前工信部正在牽頭制定關于個人信息保護的首個國家標準，目前該標準還沒頒布。