漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-05867
漏洞标题:淘宝帐号可能会被恶意注销
相关厂商:淘宝网
漏洞作者: mario
提交时间:2012-04-08 17:31
修复时间:2012-04-13 17:32
公开时间:2012-04-13 17:32
漏洞类型:账户体系控制不严
危害等级:低
自评Rank:5
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-04-08: 细节已通知厂商并且等待厂商处理中
2012-04-13: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
淘宝帐号因客服审核控制不严可能会导致被别人恶意注销
详细说明:
因本人淘宝帐号很久没有使用然后自动被淘宝暂停使用了,提示要输入手机号码收激活码激活,搞笑的是输入自己的手机号码后提示我这个手机号已经被占用,也就是说这个手机号注册过淘宝帐号.但是我这个手机号是刚办的没有多久,而我的淘宝帐号是几年前就注册了的,我确定我也没有用这个新手机号注册过淘宝帐号甚至任何其他网站的帐号.于是我就想既然这样不行就打淘宝客服咨询下有没有其他方法激活我的帐号,进入淘宝首页->服务中心->联系客服->电话客服,打0571-8815 8198,接通客服后我说明了我的这个情况,现在用的手机号莫名其妙被占用该怎么激活帐号,客服MM问我的淘宝帐号是多少,我回答AAA,然后客服MM说你现在用的手机号已经绑定了其他的帐号,我就纳闷了,我这是新办的手机号,根本不可能啊.我问那我手机号现在绑定的帐号是什么,客服MM说这个不方便透漏.好吧,我回答说那帮我把我的淘宝帐号AAA激活吧,客服MM回答说好的要激活AAA必须要把你手机号现在已经绑定的那个帐号注销掉(漏洞在这里出现了)...最后客服MM在没有对我的淘宝帐号或者手机号拥有权作任何审核的情况下把我手机号之前绑定的那个不知道是谁的帐号注销了,我的淘宝帐号AAA激活并绑定了我的手机号.
分析了下这个漏洞的利用条件:必须要有一个被淘宝暂停使用的帐号(长时间不使用或者屡次输错密码来构造吧),然后拿到你想注销帐号所绑定手机号的人的手机(丢了手机或者手机被偷的人要注意了,还有就是换号后一定要去淘宝里把绑定的手机号及时更换过来).
漏洞证明:
抱歉,当时电话没有录音,所以真不知道怎么证明.
修复方案:
加强客服人员对帐号或者手机号拥有者的审核.
版权声明:转载请注明来源 mario@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-04-13 17:32
厂商回复:
最新状态:
暂无