当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-045980

漏洞标题:大众网某系统内部信息泄露&被用作钓鱼

相关厂商:大众网

漏洞作者: momo

提交时间:2013-12-26 15:23

修复时间:2013-12-31 15:24

公开时间:2013-12-31 15:24

漏洞类型:用户资料大量泄漏

危害等级:中

自评Rank:8

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-12-26: 细节已通知厂商并且等待厂商处理中
2013-12-31: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

问题出现在:
http://mail.dzwww.com
密码泄露的用户及密码:
bcy@dzwww.com bi***en [*打个码]
(此泄露的邮箱被大量发QQ钓鱼信息,危害及大!
这些钓鱼信息都被用作诈骗啊,
多少无辜的人看到dzwww.com权威信誉的域名发的邮件,
肯定会信以为真的!)
hxf@dzwww.com 01***3
ben@dzwww.com 19***302
wwj@dzwww.com ty***07
libo@dzwww.com 00***5
有些多,就不一一列举了。
只想想告诉下贵企业做好员工的信息安全问题,不然这么权威的企业发的东西,通过下面的钓鱼图片后,会损失极大的信誉和导致贵企业以为是员工所为,而炒了员工啊。
0x02
泄露内部员工收件箱的信息
0xxx
下面截图是拿一个用户的证明下[通讯录、自带的网盘、收件箱等一些敏感的信息]
就我发出来的上面的账户都能够进入,需要证明的话,可以到时私密贴图给贵企业看,还有很多,就不贴出来了。

漏洞证明:

1.jpg


2.jpg


3.jpg

修复方案:

1,加强员工安全意识
2,禁止内部东西对外开放
3,你们比我专业

版权声明:转载请注明来源 momo@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-12-31 15:24

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2013-12-26 20:20 | onlycjeg ( 实习白帽子 | Rank:38 漏洞数:5 | 我就看看,我不说话.)

    美女给力啊;