漏洞概要
关注数(24)
关注此漏洞
漏洞标题:盛大麦库笔记可能导致用户敏感信息泄露
提交时间:2012-12-05 13:58
修复时间:2012-12-10 13:59
公开时间:2012-12-10 13:59
漏洞类型:内容安全
危害等级:高
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2012-12-05: 细节已通知厂商并且等待厂商处理中
2012-12-10: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
因为云笔记存在分享功能,可能因为用户误操作等原因造成敏感信息的泄露。
详细说明:
对于公有云系列产品,用户隐私是非常关键的内容。当然,这里不可避免的,就是对于用户误操作导致的个人信息泄露问题。在盛大麦库笔记中,用户可以将自己的日志进行分享,甚至将整个日记本进行分享。而这就很容易造成不该泄露的内容泄露的问题。
漏洞证明:
如图所示,银行卡信息全泄露了。别人甚至可以转存这篇笔记。
我估计原本笔记本所有者只是想共享他的一些项目信息或者学习笔记吧。
这还明显是个开发人员,技术人员都搞不懂,能误操作共享了敏感信息,更别说其他小白用户了。
修复方案:
建议学习gmail等email的“忘记附件功能”的思路。在笔记中如果提到了敏感单词例如“帐号”“银行卡”“密码”等关键词,在用户点击共享的时候,弹出提示警告用户。而不是直接就共享给大众了。
并且,最好屏蔽搜索引擎的搜索。或者至少做点措施。
版权声明:转载请注明来源 BNE@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-12-10 13:59
厂商回复:
最新状态:
暂无
漏洞评价:
评论
-
2012-12-10 16:37 |
momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)
盛大都是忽略的,或者你私下给他们技术员漏洞或者漏洞报告,收到了你发的后,都会说他们自己前2天刚挖到。我搞了好几次,所以现在盛大的东西,我看都不看。
-
2012-12-11 20:48 |
TASS_傅奎 ( 路人 | Rank:29 漏洞数:5 | Leander)
@momo 印象笔记也存在类似的问题。上次微博跟他们说了,没有任何答复。 site:www.evernote.com inurl:shard 暂时还不知道谷歌是从哪个入口找到这些的。我觉得个人共享其实没多大问题,但是把所有人共享的内容列出来就有问题了。
-
2012-12-12 10:46 |
hack2012 ( 实习白帽子 | Rank:31 漏洞数:3 | 关注信息安全 http://www.waitalone.cn/)
这种问题一般厂商也管不了,这个应该是客户自己误操作造成的。
-
2012-12-13 16:49 |
xsjswt ( 普通白帽子 | Rank:156 漏洞数:49 | 我思故我猥琐,我猥琐故我强大)
@momo 差不多,找了几个问题,他们说这些都不算问题
-
2012-12-13 16:58 |
momo ( 实习白帽子 | Rank:91 漏洞数:24 | ★精华漏洞数:24 | WooYun认证√)
@TASS_傅奎 @hack2012 @xsjswt 呵呵,我的是他们那个新推出的手机的站点,我挖了7个洞,我发给那个:安德鲁后,他们说他刚也挖到了,你说这样的事情你蛋疼不?
-
2012-12-14 09:25 |
墨水心_Len ( 实习白帽子 | Rank:70 漏洞数:15 | PKAV技术宅 | 每一个有文化的东西,我们都...)
一方面是我们要了解的,那就是大多数用户是没有安全意识的,拿自己"如此重要"的东东还分享出去。另一方面是程序在对各种异常(包括"如此诡异"的操作)做出处理。
-
2012-12-19 10:21 |
BNE ( 普通白帽子 | Rank:105 漏洞数:7 | NIce)
@TASS_傅奎 @墨水心_Len @hack2012 各位不看我提出的解决方案么。这种的确不能指望用户的自我意识,但是起码厂家得起到一定的限制和提醒作用。如果有现成的方案却不愿意去做,甚至忽略危害,我觉得这是厂家应该反省的。
-
2012-12-19 10:31 |
墨水心_Len ( 实习白帽子 | Rank:70 漏洞数:15 | PKAV技术宅 | 每一个有文化的东西,我们都...)
@墨水心_Len 嗯:) 所以我说了两个方面。意思均为建议厂商做出处理。
-
2012-12-19 10:36 |
墨水心_Len ( 实习白帽子 | Rank:70 漏洞数:15 | PKAV技术宅 | 每一个有文化的东西,我们都...)
