当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-066551

漏洞标题:大数据的隐患知名公众人物的信息安全

相关厂商:cncert

漏洞作者: 李旭敏

提交时间:2014-07-03 12:58

修复时间:2014-07-08 11:05

公开时间:2014-07-08 11:05

漏洞类型:成功的入侵事件

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-07-03: 细节已通知厂商并且等待厂商处理中
2014-07-08: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

利用大数据【其实就是社工库】和支付宝的一些缺陷。所带来的安全隐患··
为了保护个人信息,以下字多图少。还望多多包含··

详细说明:

今天玩LOL的时候,在多玩盒子看到一个帖子

1.jpg

大概内容就是,利用之前的酒店泄漏数据库,查询某些美女解说的真实信息。身份证,家庭住址,邮箱,手机和姓名····
接着我就有了这么一个思路,于是乎我也找了一个解说。就用“路人乙”代替把。
先去百度一下,路人乙的名字,百度百科有它的出生地址,生日···虽然不知道来源是否靠谱,先记者···X年X月嗯。
接着去查开房的酒店数据库中搜寻~~举个例子,就拿今天上娱乐新闻的离婚高晓松来说把··

2.jpg

可以看到他的百度百科资料写着1969年11月14日,我们在之前泄漏的酒店数据库中搜索19691114就可以快速定位找到高晓松的本人身份证。百度百科资料上写着是北京出生,那么我们去看看身份证是不是北京的,

3.jpg


可以看到应该是他本人的身份证了。后面还有手机号码和邮箱·····
嗯,这个只是案例其一,继续我们的故事,
根据路人乙百度百科上的生日和出生地,我们快速排除了其他几位同名同姓的信息。
路人乙在这次数据库中泄漏了很多信息,手机和邮箱还有身份证和名字···
接着,我们可以把路人乙的邮箱和手机输入社工库里搜索更多信息,当然,对于我来说,有这两个就够了,我们去支付宝,找回帐号中输入它的邮箱或者手机号,来判断是否利用邮箱或者手机注册了帐号,LOL解说都开淘宝店,这个相信大家都知道,所以他们肯定会有支付宝帐号。果然,路人乙利用邮箱注册了帐号,我猜了几次密码,支付宝就提示登陆次数过多了。接着我直接去找回密码问题,发现它的答案是,它中学名字····
没关系,知名人物肯定都会有一些采访视频啊,或者人物经历。
果然,在它的贴吧中,我找到了答案,输入进去后修改密码直接进入它的支付宝···

4.jpg


5.jpg


这里值得一题的是。我并没有他的密码和支付密码。
我是通过安全密保问题的答案,修改他的支付密码和登陆密码。
接着它的安全意识很差,没有绑定数字证书,然后········
我就转了一块钱给自己,这时候,支付宝的安全机制之一出现了···

6.jpg

或许是因为我是异地登陆,然后要求提供身份证后六位数···
这里就利用之前泄漏的酒店数据库中的身份证号码···,我们直接输入后六位

7.jpg

成功拿到安全检测费1元钱!不打算还了。
我看了一下,它绑定了银行卡,但并没有开通快捷支付,不过还是泄漏了收货地址,也就是家庭住址。
不知道这里是否可以利用burp suite爆破六位数的身份证号码···
不过还是可以看到支付宝安全机制没做到位···
·

漏洞证明:

8.jpg

竟然有人姓肉~~
如果有兴趣的话,可以出一个系列···
大概思路是 “随便搜索某个目标→查询开房数据库→拿到相关信息→可以尝试申诉或者找回密码猜解密码→登陆支付宝→拿到目标的家庭住址进一步获取敏感信息→转账洗钱→做一次大保健”

修复方案:

其实这个并不属于哪一方的漏洞。只是一个小小的案例。
修改支付密码只要求提供密保问题答案,并未要求邮箱验证和手机验证或者判断是否异地登陆。收货人地址并未做加密处理,这里推荐异地登陆时自动屏蔽以往交易记录中的收货地址·····因为如果是本人登陆的话,根本没必要去查看自己的收货地址,你家住在哪里你自己都不知道啊?。除非有需要修改的前提下可以进行验证后才可以查看·

版权声明:转载请注明来源 李旭敏@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-07-08 11:05

厂商回复:

暂无法确认主责方,暂未列入处置流程。

最新状态:

暂无