当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-016928

漏洞标题:中国公云网(3322.org)商用户资料大量泄漏

相关厂商:中国公云

漏洞作者: 李白

提交时间:2013-01-06 18:59

修复时间:2013-01-08 22:54

公开时间:2013-01-08 22:54

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-01-06: 细节已通知厂商并且等待厂商处理中
2013-01-07: 厂商已经确认,细节仅向厂商公开
2013-01-08: 厂商提前公开漏洞,细节向公众公开

简要描述:

中国公云你懂的,www.3322.org
当公云的数据也云了起来……
用户资料在QQ群中流传,
亲自测试,发现果然存在一定安全事件
这次大量泄漏,真的是大量大量大量。。

详细说明:

用户资料在QQ群中流传,
亲自测试,发现果然存在一定安全事件

群里.JPG

虽然上传才仅仅5天,就有21次下载,那如果继续传播呢?后果不堪设想是不是。
关于利用:

虽然这份数据有些陈旧,但是,我抽样10份中仍有2份是今天(注意是今天)更新过,最近的有2份,哪怕域名不利用,里面的身份证信息、电话号码也是十分值得利用,拿这个发诈骗短信,谁还不信?

漏洞证明:

The first,我们来看一下数目

.JPG

7609页.....我们按字数来算10字为一条,也就是说有1973341/10为一条,我们当他有的密码长一点吧,那就20字一条,那也有1973341/20=98667条,我们再算5条里有两条不准确的,那么就是98667/5*3=59200条....而众所周知,公云作为网商,里面的资料都是准确的(后面会证明)
各种身份证,各种电话号码,各种域名,这让我们情何以堪?
The second 资料准确性
抽样1:

1.jpg


抽样2:

2.JPG


抽样3:

3.jpg


抽样4:

4.jpg


整体:

信息5.JPG


我们抽样其中一条进行剖析:
05/05/2011 - 12:51:59 61.160.235.203 110.87.161.122 linsheng5188 692064 61.160.235.203 Basic (GET)

日期时间不解释,第一个IP来自江苏省电信,经查证后为3322.org解析之后的IP,后面那个IP来自福建省福州市,且第二个IP在信息表内经常变动,可推测出此是此用户者的IP,后面分别是账号密码,又出现一个3322.org的IP。Basic是编程语言,(get)是得到。此时分为两种可能,一种是当时被劫持了,一种是钓鱼。我们结合多条信息(整体)一起分析,发现在信息都来自同一天的,且相距时间不超过4小时,由此我们可以推断出,在2011年5月5日,3322.org曾经发生过劫持,导致一时间登录的用户资料被获取后记录,导致非常庞大的用户资料泄露


修复方案:

愿意提供此份数据
如此庞大的数据量。
建议首先阻断本数据的流通情况
然后该提醒的提醒,该删除的删除。
李白想说,既然如此庞大的用户数,我们不妨可以首先同意屏蔽掉登录后的个人信息界面,马赛克掉身份证信息还有电话信息,再慢慢调查。
Good lucy for you!

版权声明:转载请注明来源 李白@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2013-01-07 11:02

厂商回复:

这个问题,是用户的密码,被嗅探器嗅探了

最新状态:

2013-01-08:我们以前在一个机房,同一网段有其他用户的 windows机器,互相没有划分vlan。他们的机器被中招过几次,然后发起arp攻击,抢夺网关,导致整个网段都不能上网。当时以为就是仅仅这个问题,后来发觉有两台windows机器被装了嗅探器,导致我们的linux机器被嗅探。2012.8.20 ,我们搬迁的新的机房,网络上我们完全独立,就不存在这个问题了。目前,我们对所有的老用户,都必须重新密码加固(使用注册邮箱重新获取密码)才能登录。

2013-01-08:谢谢李白的漏洞报告。但是:1、这个不是脱库2、文中提到“Basic是编程语言,(get)是得到”, 这个有误的。basic 这里是 http 的一种认证方式,对用户名和密码进行简单的编码。GET 是 http的方法


漏洞评价:

评论

  1. 2013-01-05 16:29 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    3322被微软查了水表,没人敢用了吧。

  2. 2013-01-06 01:15 | 双人份 ( 路人 | Rank:8 漏洞数:3 | 打发点咯)

    这也算。。

  3. 2013-01-06 19:44 | 李白 ( 普通白帽子 | Rank:142 漏洞数:29 )

    @双人份 我会说这份东西起码有59200个人的身份信息么

  4. 2013-01-06 20:31 | 双人份 ( 路人 | Rank:8 漏洞数:3 | 打发点咯)

    @李白 大概有20.2m

  5. 2013-01-06 20:55 | Sn0wLe0p4rd ( 路人 | Rank:27 漏洞数:11 | 童言无忌)

    3322的裤子早就流传过了

  6. 2013-01-06 21:25 | erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)

    我看见至少1000W肉鸡。。。(两眼发光)

  7. 2013-01-06 21:30 | 李白 ( 普通白帽子 | Rank:142 漏洞数:29 )

    @erevus 何止啊....哈哈。。不过转IP是件非常累的事情。。

  8. 2013-01-06 22:32 | erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)

    送我1两千只玩玩呗

  9. 2013-01-06 22:37 | 李白 ( 普通白帽子 | Rank:142 漏洞数:29 )

    @erevus 等漏洞公开吧,哥有职业操守,哈哈。。。

  10. 2013-01-07 11:04 | 中国公云(乌云厂商)

    @李白, 我是厂商,请联系我: ppyy@pubyun.com

  11. 2013-01-07 11:22 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @中国公云 这个是怎么被嗅探到的啊

  12. 2013-01-07 14:51 | 李白 ( 普通白帽子 | Rank:142 漏洞数:29 )

    @中国公云 好的,下午联系。之前嗅探不给过...估计太短了.于是我就发钓鱼劫持了。

  13. 2013-01-07 15:01 | 陈再胜 ( 普通白帽子 | Rank:121 漏洞数:13 | 微博收收听~~~●﹏●)

    唉,这个也算漏洞?

  14. 2013-01-07 16:45 | 李白 ( 普通白帽子 | Rank:142 漏洞数:29 )

    @陈再胜 属于安全事件亲。

  15. 2013-01-07 16:54 | 陈再胜 ( 普通白帽子 | Rank:121 漏洞数:13 | 微博收收听~~~●﹏●)

    @李白 我知道裤子的来源·········

  16. 2013-01-07 16:59 | 李白 ( 普通白帽子 | Rank:142 漏洞数:29 )

    @陈再胜 绝对不是自产自销就对了,哈哈。。。

  17. 2013-01-09 00:12 | 李白 ( 普通白帽子 | Rank:142 漏洞数:29 )

    嘿嘿,学习了,不得不说3322是我目前在乌云里看到最好最负责的厂商

  18. 2013-01-09 00:28 | 西毒 ( 普通白帽子 | Rank:221 漏洞数:33 | 心存谦卑才能不断超越自我)

    我只能说楼主蛋疼....他这个3322泄露,网上早有了

  19. 2013-01-09 00:29 | 西毒 ( 普通白帽子 | Rank:221 漏洞数:33 | 心存谦卑才能不断超越自我)

    几年前用3322抓鸡黑客一把一把的,当年我都用过

  20. 2013-01-09 09:12 | hack2012 ( 实习白帽子 | Rank:31 漏洞数:3 | 关注信息安全 http://www.waitalone.cn/)

    厂商回复比较详细。3322不怎么用。。

  21. 2013-01-09 13:34 | erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)

    求库下载地址。。。我要肉鸡。。。。0.0

  22. 2013-01-09 14:12 | 灵惜 ( 路人 | Rank:14 漏洞数:2 | 哇咔咔,搞定它)

    尼X,我不是暴露狂,只因为衣服是透明的

  23. 2013-01-09 21:01 | by_奇奇 ( 实习白帽子 | Rank:35 漏洞数:7 | 2)

    老库了 ‎2011‎年‎5‎月‎6‎日 ‎星期五,‏‎15:34:32

  24. 2013-03-05 20:08 | Forsaken ( 路人 | Rank:14 漏洞数:2 | 低调做事 低调做人 高调学习)

    @李白 求裤子 994574511@qq.com