您的位置:  首页 » 资讯 » 阅读文章

新蛋用户邮件信息安全堪忧,可反查!另比较其他电商找回密码方式与安全性

今天收到邮箱中一封新蛋网密码重置的信件,本人很是奇怪,家中那个时间段没人,我也不在网,为何会出现重置邮件呢?经过笔者调查发现,新蛋网的密码找回机制实际上是暗藏泄露顾客邮箱的漏洞。

简要描述:

新蛋注册邮箱可以随意反查~用户名反查注册邮箱

详细说明:

1、进入新蛋用户找回密码页面:https://secure.newegg.com.cn/Customer/GetPassword.aspx

2、预测用户名,比如admin,输入验证码;然后确认后,会弹出成功向administrator11@sina.com邮箱发送邮件的信息,整个过程如下图:

新蛋预测用户名

评价:新蛋的这种找回密码的方式确实欠妥,没有将用户Email地址做部分隐藏处理,只要知道了用户名就可获取该用户Email地址,如果Email为弱密码,后果不堪设想。

不过目前新蛋的用户名都做了隐藏处理,要想猜到其用户名,恐怕也没那么容易。

主要电商的密码找回方式与用户隐私保密安全性

而同是电商的京东,重置密码时不但要求用户填入用户名,更要求填入对应的邮箱账号,这也是一般网站找回密码机制的一种,截图如下:

京东商城处理密码的方式-第三评

评价:这种验证采用了双重验证方式来保护用户隐私,基本可以杜绝反查获得用户相关信息。

亚马逊的找回方式有两种:非邮箱注册可填注册时的用户名,邮箱注册则输入邮箱地址,如果用户注册时为非邮箱,则同样可以反查得到。

感谢匿名人士的投稿!

  • 有4,419人围观

分享给我的好友看看:

 

关于作者:

贡献:IPS已经在第三评发表66篇文章了,你也来试试

简介:第三评以消费者的视角做有专业态度的第三方观察与评测媒体。所有在前台直接投稿的文章都有我来编辑和整理,哈哈,感觉不错。

Ta的专栏 | 新浪微薄 | 腾讯微薄 

  • 沙发
      在  说:

    好文章,内容惊心动魄.禁止此消息:nolinkok@163.com

    回复






快捷键:Ctrl+Enter