漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-068708
漏洞标题:员工安全意识不足导致陌陌科技产品设计信息泄漏
相关厂商:北京陌陌科技有限公司
漏洞作者: 我是小号
提交时间:2014-07-16 11:47
修复时间:2014-08-03 00:09
公开时间:2014-08-03 00:09
漏洞类型:账户体系控制不严
危害等级:中
自评Rank:10
漏洞状态:厂商已经修复
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-07-16: 细节已通知厂商并且等待厂商处理中
2014-07-16: 厂商已经确认,细节仅向厂商公开
2014-07-26: 细节向核心白帽子及相关领域专家公开
2014-08-03: 厂商已经修复漏洞并主动公开,细节向公众公开
简要描述:
员工安全意识不足导致陌陌科技产品涉及信息泄露
详细说明:
声明:
本次审计活动遵守国家法律没有对被审计者的私人账户有任何改动活动,对审计相关的数据也已经做粉碎删除处理。
~!1.:公司CEO
威胁:
可以控制CEO的百度,陌陌,115网盘,微博等多个账号,通过i.baidu.com开启百度自带的搜索记录功能还可以监控贵公司CEO搜索的内容(比如搜索有关汽车相关的神马消息),从而进一步对企业进行渗透,可以被恶意社会工程攻击人员用以获取企业机密数据
~2!.:公司员工
某员工帐号密码泄漏,导致陌陌产品设计稿外泄,为了保护员工我就不贴了。
漏洞证明:
#1.陌陌的UI设计相关的文件
#2.CEO的百度搜索记录(部分)
*
本次审计仅是一次安全测试目的不是为了获取大量公司内部的机密数据,所以漏洞证明仅作一些点到为止的提示,希望给贵公司以风险上的提示。
修复方案:
1.员工安全意识应该成为企业文化的重要一环(这需要在公司由小到大发展的过程中逐步培养,很幸运你们真在经历这样的一个过程,如果现在着手还来得及)
2.对于一些开发文件应该放在统一公司内部的网盘里面存储,而不是随便放在哪个网盘里
3.公司所有级别的员工都会因为自己的安全意识不足给企业带来风险,所以说公司的每个人都应该要树立起足够的安全意识
版权声明:转载请注明来源 我是小号@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2014-07-16 13:45
厂商回复:
多谢提交。目前只能确认有部分设计信息泄露。
最新状态:
2014-07-16:跟漏洞作者确认了一下,只有部分公司的资料是由于员工疏忽上传到网盘并且公开被下载的,其他信息都确认都和我们无关。
2014-07-17:跟漏洞作者仔细确认后,情况如下1.漏洞作者通过社工公司一位已离职员工的信息,获取到他网盘的账号密码,进而获取到的陌陌部分设计UI资料。因而等级为低,为鼓励用户提交漏洞,给予5rank2.用户社工的公司其他人信息没有经过验证,同时经过我们验证,信息不实,非公司员工账号。综合以上,给予危害等级低的评价,同时给5rank。希望各位白帽子在提交漏洞的时候,可以核实后发布。同时欢迎大家提陌陌漏洞。
2014-08-03:修复