当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-056699

漏洞标题:中国移动某省SMS服务未授权访问(泄漏该省移动全部门人员姓名、手机号)

相关厂商:中国移动

漏洞作者:

提交时间:2014-04-11 17:20

修复时间:2014-05-26 17:20

公开时间:2014-05-26 17:20

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-04-11: 细节已通知厂商并且等待厂商处理中
2014-04-16: 厂商已经确认,细节仅向厂商公开
2014-04-26: 细节向核心白帽子及相关领域专家公开
2014-05-06: 细节向普通白帽子公开
2014-05-16: 细节向实习白帽子公开
2014-05-26: 细节向公众公开

简要描述:

领导、员工、姓名、手机号、所在部门..

详细说明:

http://mail.ha.chinamobile.com/sms/
河南省移动sms短信服务未授权访问
导致该省全省移动人员通讯录泄露了
直接访问就可以
通讯录包含

河南移动
公司机关
洛阳呼叫基地(信息安全运营中心、互联网服务集中运营中心)
中心
河南中移公司
省飞达公司
分公司
终端公司河南分公司


郑州分公司
开封分公司
洛阳分公司
三门峡分公司
商丘分公司
安阳分公司
濮阳分公司
焦作分公司
鹤壁分公司
新乡分公司
许昌分公司
周口分公司
漯河分公司
平顶山分公司
驻马店分公司
南阳分公司
信阳分公司
济源分公司


以及旗下N多部门 领导,市场部,客户部,集团部等等..

q1.jpg


这只是冰下一角,逐级下查,还有还有...还有..

q2.jpg


不止高层领导,低至基层人员的
姓名,手机号,所在部门,也一样一览无余
(点一下通讯录名称,即可看到手机号)

q3.jpg

漏洞证明:

见详细说明

修复方案:

版权声明:转载请注明来源 @乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-04-16 15:38

厂商回复:

CNVD确认所述情况(未实时复现),已经转由CNCERT直接向中国移动集团公司通报,由其后续派发工单给省公司处置。按信息泄露风险进行评分,rank 10

最新状态:

暂无


漏洞评价:

评论

  1. 2014-04-11 18:19 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    你真坏!不送我漏洞

  2. 2014-04-11 18:25 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    @U神 哈哈 傲娇受@

  3. 2014-04-11 18:27 | 信通联盟支付(乌云厂商)

    还厉害的样子

  4. 2014-04-14 20:04 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @信通联盟支付 你天天都出来乌云上逛?你不上班么?

  5. 2014-04-14 20:38 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    @U神 信通联盟网站都打不开了,可能是歇业了