漏洞概要
关注数(24)
关注此漏洞
漏洞标题:大众点评信息泄露严重影响企业安全
提交时间:2014-09-03 17:09
修复时间:2014-10-18 17:10
公开时间:2014-10-18 17:10
漏洞类型:内部绝密信息泄漏
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2014-09-03: 细节已通知厂商并且等待厂商处理中
2014-09-03: 厂商已经确认,细节仅向厂商公开
2014-09-13: 细节向核心白帽子及相关领域专家公开
2014-09-23: 细节向普通白帽子公开
2014-10-03: 细节向实习白帽子公开
2014-10-18: 细节向公众公开
简要描述:
今天无聊想对大众点评进行渗透,发现大众点评信息泄露,严重影响企业安全,内网漫游不是梦
详细说明:
今天无聊想对大众点评进行渗透。。经过测试点评用的是gmail企业邮箱。
后面搜索github,果然搜索到一段代码
里面只写了gmail的密码,没有写点评邮箱的密码,尝试登陆zhangxiaohui.cn@gmail.com的邮箱,登陆失败,提示20天前已经更改。
说明点评已经意识到github泄露源码的风险了,做出了改正。可是这个员工大意了,要知道gmail和你的企业邮箱是一家的,很可能密码使用一样,gmail改了但不说明企业邮箱改了,果然,尝试登陆,需要用手机验证,说明账号密码对的,果断用邮件客户端来bypass验证!进去鸟!
vpn系统,内部系统信息,账号体系彻底泄露
太多太多,不一一列出来了
当知道那么多信息后,没有域账号的密码又怎么样,直接发信问it啊,并且vpn验证码是发到邮箱的,所以漫游内网不是梦,太过敏感,就点到为止!!
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:8
确认时间:2014-09-03 17:55
厂商回复:
感谢对大众点评网安全的关注,目前谷歌企业邮箱已经停用,不再接收新邮件,员工太多,github确实是一个噩梦
最新状态:
暂无