当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-062076

漏洞标题:400电话企业资料和电话录音可被泄露进行定点诈骗

相关厂商:400电话

漏洞作者: 兜兜揣肉包

提交时间:2014-05-24 00:45

修复时间:2014-07-08 00:45

公开时间:2014-07-08 00:45

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-05-24: 细节已通知厂商并且等待厂商处理中
2014-05-28: 厂商已经确认,细节仅向厂商公开
2014-06-07: 细节向核心白帽子及相关领域专家公开
2014-06-17: 细节向普通白帽子公开
2014-06-27: 细节向实习白帽子公开
2014-07-08: 细节向公众公开

简要描述:

小漏洞我都不发的
感觉那些搞营销或者诈骗的对这个一定感兴趣

详细说明:

首先是登录页面:**.400cti.com.cn
密码嘛都是弱密
admin ***马赛克***
共30301条企业数据,这些资料推销的人员很感兴趣吧。当然要搞个诈骗也很容易

QQ截图20140523221431.jpg


各种企业、企业负责人详细信息,还有照片。还可以上传文件,大家懂啦.
当我看到企业录音明细、企业录音监听时我就不淡定了!!!!!我在想我手机也会被被人监听呢!!!!大家都懂的:

QQ截图20140523223403.jpg


157万条录音记录!!!我试听了一两个,音质不错。我想如果你有耐心你会收集到很多有价值的资料。什么?播放速度太快了?你不会下载到本地慢慢听啊!!:

QQ截图20140523224305.jpg


实在嫌麻烦,看前几张照片右上角,不都有导出数据嘛导出来直接下载到本地。这个危害是很大的。我就举一个例子。为求真实,本人对被我泄露了资料的人感到抱歉。
http://119.7.***.***:9090/monitor/[2014-5-22]/059188388106-059188051023-1400752162.1835-174923.wav
听这段录音,我可以收集到的资料这位女士陈,正在求学,寻求专升本。应该住在福州附近。手机号码:136****2077(我已发了短信给当事人道歉了,想诈骗的走开)
社工,诈骗什么的都很容易的。就是向这位女士推销学校自考相关的都很容易的。

漏洞证明:

另外通过扫描发现网站居然开启了1433端口.很幸运的我猜对了数据库的用户名就是身份证照片目录中的一个文件夹名字,密码是弱密:judianXXXXXX(马赛克)
上图一张:

1.jpg

修复方案:

你们更专业
求礼物!!!!!

版权声明:转载请注明来源 兜兜揣肉包@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2014-05-28 11:39

厂商回复:

已经转由CNCERT下发给四川分中心处置。

最新状态:

暂无