漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0135446
漏洞标题:杭州安恒信息技术有限公司可泄露内部及客户资料
相关厂商:杭州安恒信息技术有限公司
漏洞作者: 淡漠天空
提交时间:2015-08-20 09:26
修复时间:2015-10-05 19:54
公开时间:2015-10-05 19:54
漏洞类型:内部绝密信息泄漏
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-08-20: 细节已通知厂商并且等待厂商处理中
2015-08-21: 厂商已经确认,细节仅向厂商公开
2015-08-31: 细节向核心白帽子及相关领域专家公开
2015-09-10: 细节向普通白帽子公开
2015-09-20: 细节向实习白帽子公开
2015-10-05: 细节向公众公开
简要描述:
国内信息安全任重道远,还需要厂商与白帽子携手共进。
详细说明:
考虑到影响我们打码处理 具体邮箱账号厂商自己能查出来
漏洞证明:
修复方案:
妥妥地
版权声明:转载请注明来源 淡漠天空@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-08-21 19:52
厂商回复:
感谢白帽子的关注,我们已经处理。
最新状态:
2015-08-22:关于网络出现所谓“安恒公司泄露内部及客户资料漏洞”事情的公告8月20日,在国内漏洞平台wooyun网上,有昵称为“淡漠天空”的ID,向网站提交漏洞标题为“杭州安恒信息技术有限公司可泄露内部及客户资料”的漏洞条目。由此,本来就有歧义的漏洞标题和内容,被一些网友放大歪曲传播,给行业及安恒信息的部分用户造成了误解。特此,本企业特将事情相关事实真相公告如下:第一,标题夸张,真相简单。本次事情标题被漏洞提交者起得夸张,而事实真相很简单。事实是:漏洞提交者通过互联网流传的社工库查询到相关信息,使用“撞库”等技术手段,获得我公司某位员工的工作邮箱密码,因此,邮箱中部分涉及企业工作的邮件有被该漏洞提交者获取并泄露的危险。涉嫌泄露的邮件内容,主要是正常的工作来往邮件,不涉及安恒信息企业内部和用户的涉密信息,安恒信息企业邮箱设置的安全策略为每15天会自动删除之前的所有邮件。目前,相关涉嫌泄露邮件内容没有在网上出现。以上就是事情的全部事实,我们认为,首先,该事情是在wooyun网上出现过很正常的个人邮箱安全问题,三大运营商及国内主要安全厂商都曾有过个别员工邮箱被黑问题;其次,该事情与安恒信息本身的技术和产品没有任何关系,与安恒信息企业主客观行为没有任何关系。第二,企业重视,全力处置。在此事情出现后,安恒信息公司上下高度重视,首先,企业第一时间谈话涉事邮箱员工,修改密码,堵住漏洞;其次,全部审读该邮箱邮件,评估可能风险,邮箱邮件中,除了一些私人事宜邮件外,其它为普通工作邮件;再次,我们通过技术手段找到“淡漠天空”,进行有效沟通,进一步确认身份,澄清事实。第三,炒作造谣,坚决抵制。在wooyun网上,仅有这个歧义标题的简单页面出现后,任何内容还没有核实的情况下,一些不明网友开始据标题传播揣测编故事,其炒作思维,我们能理解;一些竞争企业的“友商”开始传播和发送用户,其言下之意,我们也能理解。这些都是“某种”人性使然。我们只是希望他们,真相公告之前,炒作就算“恶搞”,我们不再追究,在我们公布真相之后,如果再有一些无视事实的造谣中伤及“黑客”行为,我们将坚决抵制,捍卫自身正当权益,推动行业发展健康公义。第四,保留权利,跟踪到底。安恒信息作为将责任视为第一品质,将技术创新作为立业基础的企业,我们有责任有担当,即便在被“黑客”暗箭攻击的情况下,我们相信自己有担当,并且有实力,为我们的用户和我们自己的权利,担当责任,保障权益。我们在进一步固定证据和搜集线索之后,保留会同警方和媒体的充分合作权利,以保护我们和我们用户伙伴的正当权益。最后,感谢我们很多渠道伙伴、产业界朋友和多年合作的用户们,他们在知晓消息后,与我们充分沟通,了解情况后,对我们坚定支持。我们将继续满怀感恩之情,“安于责任,恒于创新”,将我们的感激,化为一如既往的品质服务和前沿技术,并肩合作,携手前行。