当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0105625

漏洞标题:阿里小号存在泄漏支付宝账号或其他电商账号密码风险

相关厂商:阿里巴巴

漏洞作者: DeadHeartGrass

提交时间:2015-04-03 17:39

修复时间:2015-04-04 16:22

公开时间:2015-04-04 16:22

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-04-03: 细节已通知厂商并且等待厂商处理中
2015-04-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

阿里小号的手机号中,存在部分号码是会存在注册了支付宝账号或其他互联网账号的情况,当使用小号的手机号作为手机号去支付宝做密码找回时,可以发现手机是否注册,若是注册可以进一步重置账号密码和支付密码。
阿里了小号每个月提高三个免费的号码使用,若是我搞十个小号就每个有就有30个账号使用。这时再去尝试各大电商!!!哈哈哈!!!

详细说明:

作为一名穷屌丝,没有钱买多部手机,在注册账号时老是泄露我的手机号码。。。。
当发现阿里小号的时候,立刻就买了个号码。。
但最近老是收到一些快递通知。。
结果去支付宝试试。。。发现居然可以重置小号的密码...这可就乐了。
看来阿里小号整个安全需要考虑下了,现在有明文规定“信息被泄露”是不合法的哦!

漏洞证明:

收到的快递提醒:

快递.png


突然脑袋大开,跑去支付宝密码找回下:

重置密码.png


获取验证码:

123.jpg


见到重置新密码界面好激动:

456.png


重置完再次登录,哈哈!

789.jpg


后续就不搞了,不然被抓怎么办!

修复方案:

1、建议阿里小号使用都是新的号码,以免出现如此验证的信息泄露问题。
2、或者在服务器上禁止各大电商的号码向已存在的小号发送短信。
3、有啥好的想法可以告诉下我哈!

版权声明:转载请注明来源 DeadHeartGrass@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-04-04 16:22

厂商回复:

亲,这属于已知漏洞,并且在其他运营商普遍存在。感谢你对我们的支持与关注。

漏洞Rank:15 (WooYun评价)

最新状态:

暂无