我如何报告一个电子商务网站违反安全措施？

Question

我从一个网站订购了一个产品，发现他们的发票显示页面完全不受查询字符串中的订单id的保护，只是增加了每个订单的数量。所显示的信息显示电子邮件地址、完整的账单和发货地址，以及与金额一起订购的产品。

该网站底部有标有"Paypal验证“、"Authorize.net验证”、"Sitelock Secure“、"Google”等徽章，但我无法找到如何向这些公司报告如此明显的数据/安全漏洞。我应该如何和谁报告这件事，让网站所有者认真对待这件事？

Answer 1

本网站上的下列问题可能值得关注：提醒网站所有者漏洞的最佳方法？、如何以道德的方式披露安全漏洞？、报告易受伤害地点。

以下是一些您命名的公司的安全联系人：

• 贝宝：sitesecurity@paypal.com (实际上主要是针对贝宝网站的安全问题，而不是第三方网站)
• 美国运通:美国运通企业事故反应计划: 888-732-3750 / EIRP@aexp.com.(实际上主要是为了让商家报告他们的系统的安全漏洞，而不是针对第三方网站漏洞的第四方报告)
• Google：security@google.com (实际上主要是为了报告Google产品的安全问题，而不是第三方网站)。

做好准备，最有可能的是，这些当事方都不会对你的投诉采取行动。如果我是你，我会向网站报告，如果他们把你拒之门外，那么，你已经完成了你的职责，除了把你的业务转移到其他地方之外，你没什么可以做的了。糟透了，但这就是它的工作原理。

Answer 2

我会提醒贝宝和谷歌检查，如果是这样的话，这个供应商正在欺诈地使用他们的标识。