当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0142782

漏洞标题:某运营商系统漏洞导致可查全国公民身份信息数据库(数据包含身份证上的所有信息包括地址和证件照)

相关厂商:cncert&公安一所

漏洞作者: 鸟云厂商

提交时间:2015-09-22 14:45

修复时间:2015-09-27 14:46

公开时间:2015-09-27 14:46

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-22: 细节已通知厂商并且等待厂商处理中
2015-09-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

某系统漏洞导致可查全国公民身份信息数据库(数据包含身份证上的所有信息包括地址和证件照)

详细说明:

好吧,这次又是联通的锅
中国联通cBSS支撑系统
通过信息收集找到帐号

河南:工号xinghy10,密码Sq13087029698


https://cbss.10010.com 登录,省份选河南

QQ20150922-1.png


登录之后发现权限还不小

QQ20150922-1.png


把所有功能都摸了一遍
危害比较大的一个点是任意身份查询
#1根据姓名查询手机号

图1_meitu_1.jpg


#2根据用户身份证号码查询名下所有号码

图2_meitu_2.jpg


#3根据手机号查询用户信息(产品、服务、账户、邮寄、协议、属性、个人)

图3.png


然后重点来了
根据身份证号码和姓名查询全国公民身份信息
营业受理---资料维护---客户资料变更
先查询一个号码来激活查询按钮,找个河南号码
15503870606
然后点击『身份认证』
可以随意输入查询了
为了个人隐私,我们去百度找几个真实姓名和身份证号码
http://www.chddh.com/bbs/html/20048.html

张忠荣 210905197807210546 
张仲礼 370205197405213513 
张竹霞 370284800121002 
张子贵 370727791118517 
张宗敏 370284197901130819 
张作芹 370284801127364 
章莉 370203800901162 
赵标 372922198012224773


图4.png


图5.png


图6.png


图7.png


输入错误号码则提示:公安部全国公民身份信息库中无此身份证号码

QQ20150922-1.png


由于涉及敏感信息,不做过多深入
End。。。。

漏洞证明:

修复方案:

版权声明:转载请注明来源 鸟云厂商@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-09-27 14:46

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无