当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011301

漏洞标题:乐蜂网成交快递记录泄漏

相关厂商:乐蜂网

漏洞作者: 梦想肥羊

提交时间:2012-08-24 21:14

修复时间:2012-10-08 21:14

公开时间:2012-10-08 21:14

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-08-24: 细节已通知厂商并且等待厂商处理中
2012-08-25: 厂商已经确认,细节仅向厂商公开
2012-09-04: 细节向核心白帽子及相关领域专家公开
2012-09-14: 细节向普通白帽子公开
2012-09-24: 细节向实习白帽子公开
2012-10-08: 细节向公众公开

简要描述:

乐蜂网交易成单快递记录泄漏
包含字段:姓名+ 收货地址+ 手机号 +(邮箱注册用户显示邮箱,手机注册用户显示手机)+购买的产品名称
数据文件上显示的最后编辑时间为2012年3月7日,判断为这之前。
百度了一下,貌似这个数据不少人在利用,很多人在网上说接到冒充乐峰的诈骗电话

详细说明:

乐蜂网380W条交易成单快递记录泄漏
包含字段:姓名+ 收货地址+ 手机号 +部分带有邮箱号+购买的产品名称
数据文件上显示的最后编辑时间为2012年3月7日,判断为这之前。
如果多次购买,同一购买者的信息会被排列在一起。
如何证明是乐峰的数据? 复制数据里面的手机号或邮箱号去乐蜂网注册,均显示已注册
百度了一下,貌似这个数据不少人在利用,很多人在网上说接到冒充乐峰的诈骗电话

漏洞证明:

修复方案:

你懂的~~

版权声明:转载请注明来源 梦想肥羊@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2012-08-25 09:06

厂商回复:

感谢梦想肥羊提供线索,这些大部分是老数据,去重后数量不多。

最新状态:

暂无


漏洞评价:

评论

  1. 2012-08-24 21:46 | Z-0ne 认证白帽子 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    洞主私货不少呢,呵呵

  2. 2012-08-25 03:24 | hooklt(小兰) ( 路人 | Rank:20 漏洞数:4 | 在山的那边海的那边有一群安全男,他们苦逼...)

    早就知道被人拖了

  3. 2012-08-25 09:10 | 梦想肥羊 ( 实习白帽子 | Rank:89 漏洞数:18 | 博客:dnswalk.blog.163.com)

    我很好奇也……-_-#他们的答复跟走秀网给的答复一样……可是我是给人家走秀网指定的FTP传过数据包,我没给乐峰传……他们怎么来的这个结论……同时这个数据明显是人家已经去重复的…………只是如果一个人多次购买不同产品会重复记录……