必胜客网上订餐系统存漏洞：用户信息泄露

3月12消息，日前，有消费者向亿邦动力网反映，必胜客宅急送订餐网站存在泄露用户联系方式和送货地址的等个人资料的嫌疑。

消息人士指出，必胜宅急送网站提供“查询订单”功能，任意人均可通过该页面查询以往订单情况。其操作过程中，只需输入此前在该网站下过订单的用户手机号码或电子邮箱，该用户的订餐地址、联络方式等个人信息将一览无余。

亿邦动力网登陆必胜宅急送官网发现，用户在下单前需要先填写电邮、姓名、联系电话、送餐地址均为必填选项，但密码则设置为可选。

关于密码保护，亿邦动力网注意到，必胜宅急送的友情提示中指出，有密码保护的顾客，二次登陆时需正确输入密码，方可开始订餐或查询订单；未设置密码的顾客信息部分会被隐藏，如地址的某个关键字以“*”字代替。

“但部分消费者在订餐时较为仓促，往往容易忽略设置密码。”上述人士表示，如不设置密码下单，其结果便是，陌生人可以通过订单查询看到用户提交的绝大部分准确信息。

亿邦动力网按图索骥，参照上述流程验证该网站的订单查询功能，在输入一组用户的电话号码后（该用户此前曾下单订餐），除邮箱和地址中的个别数字被“*”字代替外，其余包括姓名、电话号码、所居住的城市街区等有效信息，并未作任何保护隐私的处理。

在无需密码的情况下用户信息可随意查看

“这也意味着只要在必胜客网上订餐有过一次购买经历，所有的信息不仅记录在案，且完全曝露在外。”消费者认为，必胜宅急送网上订餐的系统设置并未能很好地保护好用户隐私，以致埋伏下严重的资料外泄隐患。

据悉，必胜宅急送为百胜餐饮集团旗下的专业外送品牌。据媒体报道，该品牌的在华业务于2008年，在原有传统电话订餐的基础上，积极推广网络订餐服务。之后，同为百胜餐饮集团下的肯德基也推出网上订餐。亿邦动力网查看肯德基宅急送，同样存在类似问题。

为此，亿邦动力网试图联系到百胜餐饮集团以及必胜客官方，但均未果。而来自必胜宅急送客服中心的答复则是，用户在查询订单时，对于曾经注册登记过的老用户，会提醒其输入密码；而没有设置密码的用户则统一默认为新用户。“新用户的信息是不会查询订单系统中显示的，甚至在后台都不会显示！”

然而，事实情况是，亿邦动力网随机尝试输入多个未注册密码的用户电话或邮箱，均可查看到其基本信息。

值得注意的是，无论是必胜客，还是肯德基，其订餐官网的用户协议中，关于信息收集和使用条款中均明确指出，网站对用户的个人资料和隐私权予以尊重和保密。

截至发稿时，百胜官方仍未对此事给予明确答复。对于用户投诉，必胜宅急送客服人员则强调“如果认为有泄露资料的嫌疑，必须举证相关损失，且提供整个操作流程的视频。”

必胜宅急送关于隐私的解释