WooYun.org

250buy很牛逼了。公关更牛逼。“250buy”已经臭名远扬了，前辈止步吧。此贴必火。

你把他们裤子脱了，都不会看你一眼！

推荐的安全设计措施：内网业务系统中你非要明文存储这些信息我也没话说，但是互联网可访问的网站上就完全没必要明文存储这些隐私信息，存储经过有码处理之后的即可，显示给作者本人的页面也显示有码处理之后的，这样俺也比较放心点。

@goderci 洞主失望了，京东是不会有任何消息的，呼唤乌云把他踢到cert里去了

WooYun: 京东商城用户资料完全泄漏 这个270W哥被京东告了？

如果遭遇数据库拖库攻击（不要说你们 的网站很安全），亮了

洞主是清华高材生？

仔细一看，洞主一下搞了好些洞啊！清华的专业队伍强势插入wooyun？

《网络攻防技术与实践》这个书的作者？久仰久仰！俺们学校用的就是这书啊！

@小一 @xsser 求京东270w事件始末

看来这个帖真的会火！在这打个广告了，招9月份清华免试推研保送生（严格意义上的开山大弟子），需要清北或者重点大学大三成绩优秀，语言能力强（包括英语和编程），热衷系统安全研究，有志于成为资深白帽的学生。

@xsser 洞主犯了大忌，主动联系厂商，强烈要求转CNVD以防止30天后漏洞自动公开，确保安全。。

@artemis 初三生求保送。。

@artemis 不是重点大学 成绩也不优秀 语言能力也不强！但是灰常热衷安全研究！灰常有志于成为资深白帽 考虑不？

@imlonghao 101%会被忽略

@蟋蟀哥哥，http://www.bnuol.com/html/anti_virus/2012/0206/6026.html，国信办1月11日发消息，处理的第一个任务就是乌云上报CSDN泄露事件的臭小子，第二个就是这位270W哥吧。

@artemis 整个事情官方也不说过程，也不知道那个可疑的270w是怎么来的？我觉得是进了圈套了，据说当时沟通的人不是技术而是法务和公关部门。

@artemis 臭小子不是前段时间才被封id么，270w哥也应该出来了吧

对于京东的态度也真是没什么好说的了，不过有洞就得反馈，那叫我们是白帽呢

@artemis soga,要挟得太多了，我感觉京东很危险。。

@xsser 明显被下了套

@imlonghao 不可能那么多的，个人感觉就是个套 大家不要忘记了这个事情就好

@蟋蟀哥哥 @xsser 臭小子貌似没事吧，前一阵子还在2，感觉基本白帽素质应该有，270哥不可能要那么多

@imlonghao 就是啊。。前段时间还在wooyun上2呢。。我还以为他没事。。我估计网上说的也是为了维稳。。看用词就能看出来

@xsser 我那两个ht的漏洞怎么不审核呢?那个是需要cnvd处理么??还是永远不审核

@蟋蟀哥哥 我有N个漏洞还是一个月了还是未审核，我私信CNVD了

@imlonghao 估计也是为了维稳

@蟋蟀哥哥 谁知道始末呢，都是网上传的。。。

@小一 你去人肉当事人吧

@蟋蟀哥哥 蟋蟀哥哥你可不要人肉我。。。

我也来小鼎一下，我在仔细看这个漏洞

@goderci 如果你能搞定清华研究生院招生简章对重点大学的要求，然后通过社工搞定对外校学生的面试考核，到我这我只看最后一条了:P

@artemis 好吧！我表示我爸不是李刚！还是踏实工作吧！踏实做我的小白帽，其实就学技术而言，wooyun也是个好地方！就是不给发清华毕业证啊~

乍一看吓一跳呢！还是继续灰机的飘走。你搞定裤裤了，他们也对你没什么表示。有钱人咋滴了？看不起我们这些默默奉献的人，所以啊，有些事还是不做的好。

270W。好像是3W*90天，算起来的。他们的公关真的是太淫荡了。一楼有我，这个帖子肯定会火。O(∩_∩)O哈哈~

@artemis 不要研究生，就过来混个文凭可以么

@蟋蟀哥哥 你这话说得，混个文凭，你当清华是西太平洋大学？

@goderci 还是专科啊，想混个本科

@蟋蟀哥哥 记得我们老师一直都说我们是湖北二本里的清华大学，所以表示压力不大，你可以去我们学校混个本科的！

@蟋蟀哥哥 非板砖、非脚本！！ 自学去

诸葛建伟大大。。

冒着被喷的危险，我个人开个反对的声音：这些信息无需加密。如果接触过crm管理的人就明白了，加密只会让客户管理，特别是基于搜索的管理造成很大的障碍。再说了，神马才是个人隐私信息？除了“身份证号码、手机号、银行账号”，还有“姓名、性别、生日、地址、邮编、从属行业”等，我也可以说拖库后可以被人知道我的地址，从而造成被物理偷盗以及冒名投递的危险，但实际上真有没有必要加密呢？

@horseluke 就算不加密，也不能让公网访问得到啊

make...

@蟋蟀哥哥 你说的公网访问就是他在微博上截的那图吧（http://ww2.sinaimg.cn/large/895f67cbtw1dsr88lzm4xj.jpg ）？那点我同意应部分打星号显示。但他要求后台从源数据上也加密，这点我完全反对。

@horseluke 嗯.加密也是防止泄露.用可逆反的加密是可行的.

@horseluke 就京东商城图书作者版税补贴这个应用而言，严格的安全设计，应该将处理版税计算与补贴的内部业务系统，以及前台网站上对图书作者的版税补贴情况进行分离处理。内部业务系统像你说的，对这些信息不加密也没问题（前提是内网比较安全），但是前台网站（包括它连接的数据库）中就没必要也不应该明文存储这些个人隐私信息，并且明码前台显示。看起来现在京东把这些都联在一块，并且放在公共互联网可直接访问到的，实际上除了作者个人隐私泄露风险之外，还可能遭受攻击后操作版税补贴金额等更大风险。

@artemis 还是这个应用来讲，不知道你有没有留意到，无论前后台如何表现，到了最后必然还是要连接回相同的数据库，否则更容易出现数据不一致带来的风险。你想要的只不过是不要轻易给前台页面显示出来而已，这和所谓数据加密安全毫无关系，只与数据访问权限安全有关。

危害等级：无影响厂商忽略

至于这样隐私都泄漏的，鄙人觉得放出详细做法，泄漏用户隐私，等用户举报之后他们就知道危害有多大了！

@artemis 签名很V5……

asdasdasdasd

我擦，你还清华大学的，你还有脸贴出来，你读取你自己的数据，也有脸贴出来，真。。。。2b

@Falcon 你的话就说错了吧？ 保护自己的隐私很正常的，当然250buy做得的确不厚道。

@Falcon 我感觉，即使是自己的信息，也不应该这样不加屏蔽的显示在网站上。假如账号被盗影响是很大的。。(小伙子，说话别太横，没什么用，乌云不是个骂人的地方

@Falcon @imlonghao 嗯，乌云尽管看起来黑，但是也算和谐

http://zone.wooyun.org/content/236 有人在这里邀请洞主讨论了

谢谢 @xsser 提醒，乌云还有这么个交流的地方，非常不错：）@Falcon 谩骂不会给你带来任何帮助，只会暴露你的无知与品行，希望以后多些思考多些心平气和的技术交流，就像@horseluke一样

请@乌云 @乌云漏洞库 将这个安全风险转给CNVD处理，放弃和妥协从来不是我的选项。http://www.weibo.com/1827860092/ykBo6zpgW?type=repost

今天登录了下，发现250buy默默地做了一些处理，把身份证号和银行卡号做了一些关键段的屏蔽，也算增强了一点安全性吧。这事就先这么了结吧，不过知道250buy还明文存着我的身份证号，啥时如果泄漏了饶不了他。