这事儿有点离谱,但又特别真实,某平台的用户数据突然被曝能随便看,就因为系统里几个数字没设对,有人发现,输入特定组合就能绕过权限,直接访问别人的信息,比如输入1520、012这些数字串,系统直接“放行”了,更夸张的是,连中间带星号的模糊匹配都能被试出来,比如1××0、×52×这种格式,漏洞简直像筛子。
其实类似的权限漏洞不是第一次出现,很多平台为了用户体验,会简化验证逻辑,比如用部分字段代替完整校验,但这次的问题在于,连“千位”“百位”这些关键位置的可选数字范围都没锁死,比如千位允许0开头,个位甚至开放了8个可选数字,相当于把钥匙插在锁上,谁都能拧开。
更值得琢磨的是,这种漏洞能被普通人用“穷举法”试出来,说明平台压根没做基础的防撞库措施,连风控报警都没触发,有业内人士提过,很多中小平台为了省成本,直接套用开源代码,但参数配置照搬不改,最后变成“纸糊的安全”,这次事件里,那些带星号的模糊匹配规则,明显是开发时图省事留下的后门,结果成了公开的捷径。
数字时代,数据就是命门,可太多企业把锁挂在门上,钥匙却扔在脚边,每次出事都说“加强整改”,但技术债越堆越高,说到底,不是做不到,是没真当回事,用户交出的信任,不该被当成草稿纸,涂涂改改还能擦掉重来。