当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-065137

漏洞标题:演示支付宝一处隐私泄露的利用,获取3000人 (手机号/邮箱/姓名)

相关厂商:支付宝

漏洞作者: lijiejie

提交时间:2014-06-16 13:56

修复时间:2014-07-31 13:58

公开时间:2014-07-31 13:58

漏洞类型:账户体系控制不严

危害等级:低

自评Rank:3

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-06-16: 细节已通知厂商并且等待厂商处理中
2014-06-19: 厂商已经确认,细节仅向厂商公开
2014-06-29: 细节向核心白帽子及相关领域专家公开
2014-07-09: 细节向普通白帽子公开
2014-07-19: 细节向实习白帽子公开
2014-07-31: 细节向公众公开

简要描述:

支付宝一处隐私泄露,存在时间其实很长很长了。
两年前我就提过的,wooyun说支付宝会忽略,没审核通过。。。
为了证明问题真实存在,我写了点利用脚本,来获取3000人的姓名、手机号,甚至邮箱。
当然,这个利用过程相对是比较麻烦的,要写点代码。
泄露的信息可能被诈骗者、钓鱼者、广告者利用。

详细说明:

因为之前在淘宝实习过,算是自己人了,发出来权作讨论。。。
问题是这样的:
1) 给任何一个账号发起转账交易,在交易记录的地方,可以直接查看对方的真实姓名、邮箱等。
2) 可以批量转账,每次20个人
3) 创建转账交易不需要输入验证码
4) 通过枚举手机号可以猜解哪些手机是绑定了的

漏洞证明:

第一步,猜解一个手机号段,看哪些手机号已经绑定了。
我猜解了3000个。
因为支付宝对访问是有限制的,单次请求之后应该延时,防止被临时封禁IP。
第二步,批量向这3000个手机号转账,每批次20人
第三步,去账单页面抓下来这3000人的姓名、电话,部分人还可以抓到邮箱
最终数据(只取部分证明):

1.jpg

修复方案:

阿里的大神费心了

版权声明:转载请注明来源 lijiejie@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2014-06-19 10:02

厂商回复:

感谢你对支付宝安全的关注

最新状态:

暂无