当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-044513

漏洞标题:用已回收的电话号码(注册过微信)登录微信查看他人的私人信息

相关厂商:腾讯

漏洞作者: zoom

提交时间:2013-11-30 14:54

修复时间:2014-01-14 14:55

公开时间:2014-01-14 14:55

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-11-30: 细节已通知厂商并且等待厂商处理中
2013-12-02: 厂商已经确认,细节仅向厂商公开
2013-12-12: 细节向核心白帽子及相关领域专家公开
2013-12-22: 细节向普通白帽子公开
2014-01-01: 细节向实习白帽子公开
2014-01-14: 细节向公众公开

简要描述:

最近新拿了个移动的手机号,准备注册个微信账号,没想到使用短信验证登录后竟然发现此手机号已经有人用来注册过微信了,别的不多说了,一切信息都看见了!

详细说明:

image.jpg

漏洞证明:

image.jpg

修复方案:

和通信公司协调下吧!

版权声明:转载请注明来源 zoom@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-12-02 14:28

厂商回复:

非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-11-30 14:58 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    目测会忽略

  2. 2013-11-30 15:02 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    赌一个wb

  3. 2013-11-30 15:14 | WooYun ( 路人 | Rank:2 漏洞数:1 | 没有个人介绍,因为我不需要介绍什么。)

    找回密码,你能获取的只是一堆堆的微信好友吧。微信历史聊天信息是记录在当前手机中的。

  4. 2013-11-30 15:15 | cnhello ( 路人 | Rank:0 漏洞数:1 | 小菜一枚,学习中。。。)

    注定忽略

  5. 2013-11-30 15:27 | 0x2b ( 实习白帽子 | Rank:51 漏洞数:12 )

    凡是用手机注册的网站都应该存在这种问题

  6. 2013-11-30 15:58 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    忽略啊。tx怎么知道你手机耗被回收了

  7. 2013-11-30 15:59 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    @xsser 小顿啊,审核下我的洞啊。http://www.wooyun.org/bugs/wooyun-2013-044455/trace/435d451f4021ec6da76ce38a9393ee5c

  8. 2013-11-30 16:25 | 小震 ( 路人 | Rank:8 漏洞数:3 | ~)

    = = 靠。。支付宝还不是一样= =

  9. 2013-11-30 17:19 | xiaoL ( 普通白帽子 | Rank:361 漏洞数:67 | PKAV技术宅社区!Blog:http://www.xlixli....)

    注定忽略的...

  10. 2013-11-30 19:08 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    忽略的节操

  11. 2013-11-30 23:16 | 马燕羊蝎子 ( 实习白帽子 | Rank:83 漏洞数:10 | 亲,啥时候请吃马燕羊蝎子。)

    所有的电话卡回收复用,都会遇到这个问题,甚至该手机卡绑定了其他人的手机银行等业务都不是不可能,我同事遇到过某妹子的手机卡绑定了支付宝,可以做什么,你懂的。。。

  12. 2013-11-30 23:21 | skysheep ( 路人 | Rank:0 漏洞数:1 | 关注网络安全。)

    赶紧忽略

  13. 2013-11-30 23:43 | secer ( 路人 | Rank:5 漏洞数:2 | 来乌云学习学习)

    依靠手机验证码的都这样,把安全风险转移到运营商~

  14. 2013-12-01 07:46 | B1acken ( 普通白帽子 | Rank:174 漏洞数:56 | 渣渣)

    尼马这个亮了,去买张卡试试,商机无限呀

  15. 2013-12-01 09:05 | 花生^_^ ( 路人 | Rank:0 漏洞数:1 | 加强学习~~)

    我的手机卡什么都没敢绑定。。。

  16. 2013-12-01 09:54 | Evil Spirits ( 路人 | Rank:0 漏洞数:1 | 安好无念。)

    换卡之前我基本是把自己能记住绑定过手机号的东西全部换了!!然后再去报废这张卡!

  17. 2013-12-01 12:25 | 小震 ( 路人 | Rank:8 漏洞数:3 | ~)

    @Evil Spirits 做梦。。好多网站都没有更换手机号的功能。。。

  18. 2013-12-02 15:41 | 卖火柴的小男孩 ( 路人 | Rank:23 漏洞数:4 | muyou)

    貌似忽略~~~

  19. 2013-12-23 10:00 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @小胖子 最后一个图真相了?

  20. 2013-12-23 10:26 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @wefgod 不是我啊 !!!!!

  21. 2014-01-14 15:02 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:90 | 看我看我看我啊)

    说好的忽略呢