漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2011-03909
漏洞标题:由于支付宝账户的特殊性,仅账号外泄的不良后果也很严重
相关厂商:支付宝
漏洞作者: 梦想肥羊
提交时间:2011-12-29 19:23
修复时间:2012-01-03 19:24
公开时间:2012-01-03 19:24
漏洞类型:用户资料大量泄漏
危害等级:低
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2011-12-29: 细节已通知厂商并且等待厂商处理中
2012-01-03: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
由于支付宝账户的特殊性,仅账号外泄的不良后果也很严重。我于昨日发布漏洞(http://www.wooyun.org/bugs/wooyun-2010-03871)告诉支付宝有1500-2500W用户的账号泄露,没有密码,你们官方就很高兴。请看好我那篇漏洞报告是说你们的用户账号被用于网络营销,没说没盗取金钱。
进入正题:
1.支付宝账号,要么是用户的手机号,要么是用户的邮箱地址。特殊就特殊在知道了账号,我就能知道账号的主人的真实姓名。(进入支付宝付款环节,输入账号,名字自动显示)你们说账号不属于隐私,那邮箱地址和用户的名字在一起或者手机号和用户的名字在一起时,这算什么?这不叫隐私吗? 这可用于网络诈骗~~
2.有消息宣称这些账户不是你们内部出来的,是有人从网上收集邮箱地址然后一个一个去试验看是不是支付宝的~~请问谁能试出上千W~ 另外这批数据的分类是有规则的,它按某个时期用户在淘宝所购买的宝贝类型分为29类。。。。我找几个经常上网买衣服的女性朋友要了支付宝账号去女装分类里面搜,能搜到她们的,其他分类里面搜不到~~这就能说明问题。收集来的数据能这样分类??
3.支付宝的用户是什么? 是网购的主力军。他们的邮箱地址和手机号可以用来干什么? 群发邮件,群发短信,各类购物网站 团购网站 网络诈骗 网络推销的目标
人在做,天在看,请正视问题的存在~
详细说明:
由于支付宝账户的特殊性,仅账号外泄的不良后果也很严重。我于昨日发布漏洞( WooYun: 支付宝用户大量泄漏,被用于网络营销 )告诉支付宝有1500-2500W用户的账号泄露,没有密码,你们官方就很高兴。请看好我那篇漏洞报告是说你们的用户账号被用于网络营销,没说没盗取金钱。
进入正题:
1.支付宝账号,要么是用户的手机号,要么是用户的邮箱地址。特殊就特殊在知道了账号,我就能知道账号的主人的真实姓名。(进入支付宝付款环节,输入账号,名字自动显示)你们说账号不属于隐私,那邮箱地址和用户的名字在一起或者手机号和用户的名字在一起时,这算什么?这不叫隐私吗? 这可用于网络诈骗~~
2.有消息宣称这些账户不是你们内部出来的,是有人从网上收集邮箱地址然后一个一个去试验看是不是支付宝的~~请问谁能试出上千W~ 另外这批数据的分类是有规则的,它按某个时期用户在淘宝所购买的宝贝类型分为29类。。。。我找几个经常上网买衣服的女性朋友要了支付宝账号去女装分类里面搜,能搜到她们的,其他分类里面搜不到~~这就能说明问题。收集来的数据能这样分类??
3.支付宝的用户是什么? 是网购的主力军。他们的邮箱地址和手机号可以用来干什么? 群发邮件,群发短信,各类购物网站 团购网站 网络诈骗 网络推销的目标
人在做,天在看,请正视问题的存在~
漏洞证明:
修复方案:
不说了~~人在做,天在看,请正视问题的存在~
版权声明:转载请注明来源 梦想肥羊@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-01-03 19:24
厂商回复:
漏洞Rank:10 (WooYun评价)
最新状态:
暂无
漏洞评价:
评论
-
@x140m1ng 可以参考银行的做法,姓的地方打一个星
( 普通白帽子 | Rank:411 漏洞数:40 )