当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-019538

漏洞标题:支付宝手机号绑定登陆致注销手机号重回市场资金被盗

相关厂商:支付宝

漏洞作者: 白加黑

提交时间:2013-03-05 09:39

修复时间:2013-04-19 09:39

公开时间:2013-04-19 09:39

漏洞类型:账户体系控制不严

危害等级:中

自评Rank:8

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-03-05: 细节已通知厂商并且等待厂商处理中
2013-03-05: 厂商已经确认,细节仅向厂商公开
2013-03-15: 细节向核心白帽子及相关领域专家公开
2013-03-25: 细节向普通白帽子公开
2013-04-04: 细节向实习白帽子公开
2013-04-19: 细节向公众公开

简要描述:

支付宝一般为手机绑定,可以使用手机号直接登陆,而且找回账号登陆密码、交易密码也均可以使用手机号直接找回。现在有很多人手机号换过之后很少关心自己的支付宝绑定金融相关问题,直接导致被别人“找回密码”,造成金钱损失;而且更有些人支付宝与银行卡绑定,转走了支付宝就相当于转走了银行卡的钱,呜呼,说没就没啊~~

详细说明:

偶尔提到业务安全,感觉安全部门多了一个社会工程一样~~~
支付宝的登陆页面中,明显提示,可以使用手机号码作为用户名登陆:

FastStoneEditor.PNG


进入找回密码,这里的账号可以直接写手机号,这样也就出现了问题——现在运营商开始手机号重回市场,很多买来的手机卡都不能注册一些账号,为什么?因为以前这些人用过的账号已经注册过了,别有用心的人也就可以使用重回市场的手机号进行密码找回,然后盗刷钱财~

FastStoneEditor2.png


使用手机找回:

FastStoneEditor3.PNG


这样,就可以收到更改密码的短信通知了:

FastStoneEditor4.png


短信接收~~~

12233.png


接下来账号就被XX了,RMB也XXX了~

漏洞证明:

有人已经中招了~~~

修复方案:

1、提醒用户,注销手机号前改绑手机
2、检测注销重用账号(需运营商支持)
3、更多的密码找回验证:

1.png

版权声明:转载请注明来源 白加黑@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2013-03-05 14:41

厂商回复:

1、手机是重要的安保工具,建议用户换号后及时换绑。
2、对于因为运营商二次放号带来的风险,支付宝会在技术上进行识别和监控,降低由此带来的风险,保障用户的资金安全

最新状态:

暂无