当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-068708

漏洞标题:员工安全意识不足导致陌陌科技产品设计信息泄漏

相关厂商:北京陌陌科技有限公司

漏洞作者: 我是小号

提交时间:2014-07-16 11:47

修复时间:2014-08-03 00:09

公开时间:2014-08-03 00:09

漏洞类型:账户体系控制不严

危害等级:中

自评Rank:10

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-16: 细节已通知厂商并且等待厂商处理中
2014-07-16: 厂商已经确认,细节仅向厂商公开
2014-07-26: 细节向核心白帽子及相关领域专家公开
2014-08-03: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

员工安全意识不足导致陌陌科技产品涉及信息泄露

详细说明:

声明:
本次审计活动遵守国家法律没有对被审计者的私人账户有任何改动活动,对审计相关的数据也已经做粉碎删除处理。
~!1.:公司CEO

ytang1****@gmail.com 
tyy**3


威胁:
可以控制CEO的百度,陌陌,115网盘,微博等多个账号,通过i.baidu.com开启百度自带的搜索记录功能还可以监控贵公司CEO搜索的内容(比如搜索有关汽车相关的神马消息),从而进一步对企业进行渗透,可以被恶意社会工程攻击人员用以获取企业机密数据
~2!.:公司员工
某员工帐号密码泄漏,导致陌陌产品设计稿外泄,为了保护员工我就不贴了。

漏洞证明:

#1.陌陌的UI设计相关的文件

00.png


#2.CEO的百度搜索记录(部分)

01.png


*
本次审计仅是一次安全测试目的不是为了获取大量公司内部的机密数据,所以漏洞证明仅作一些点到为止的提示,希望给贵公司以风险上的提示。

修复方案:

1.员工安全意识应该成为企业文化的重要一环(这需要在公司由小到大发展的过程中逐步培养,很幸运你们真在经历这样的一个过程,如果现在着手还来得及)
2.对于一些开发文件应该放在统一公司内部的网盘里面存储,而不是随便放在哪个网盘里
3.公司所有级别的员工都会因为自己的安全意识不足给企业带来风险,所以说公司的每个人都应该要树立起足够的安全意识

版权声明:转载请注明来源 我是小号@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2014-07-16 13:45

厂商回复:

多谢提交。目前只能确认有部分设计信息泄露。

最新状态:

2014-07-16:跟漏洞作者确认了一下,只有部分公司的资料是由于员工疏忽上传到网盘并且公开被下载的,其他信息都确认都和我们无关。

2014-07-17:跟漏洞作者仔细确认后,情况如下1.漏洞作者通过社工公司一位已离职员工的信息,获取到他网盘的账号密码,进而获取到的陌陌部分设计UI资料。因而等级为低,为鼓励用户提交漏洞,给予5rank2.用户社工的公司其他人信息没有经过验证,同时经过我们验证,信息不实,非公司员工账号。综合以上,给予危害等级低的评价,同时给5rank。希望各位白帽子在提交漏洞的时候,可以核实后发布。同时欢迎大家提陌陌漏洞。

2014-08-03:修复

漏洞评价:

评论

  1. 2014-07-16 12:29 | Z-0ne 认证白帽子 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    邮箱?

  2. 2014-07-16 12:32 | 默小建 ( 路人 | Rank:10 漏洞数:1 | 我读书少,你要骗我,我就坑你!)

    老板对员工说:你明天可以不用来上班了!

  3. 2014-07-16 14:18 | 北京陌陌科技有限公司(乌云厂商)

    漏洞作者联系我陌陌,1972097,确认下后面的信息,多谢。

  4. 2014-07-16 14:36 | 只发通用型 ( 实习白帽子 | Rank:93 漏洞数:14 | 刷通用型奖金小号)

    @北京陌陌科技有限公司 在线约炮?

  5. 2014-07-17 09:31 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    @北京陌陌科技有限公司 问题同楼上

  6. 2014-07-17 15:46 | 北京陌陌科技有限公司(乌云厂商)

    @只发通用型 请看漏洞解释。只是为了核实漏洞详情。陌陌是一个严肃的交友平台,用户透过平台进行的行为都是个人行为。同时陌陌正在致力于改善用户的交友环境,给大家创建一个安全,和谐,健康的交流空间。

  7. 2014-07-23 21:46 | 默小建 ( 路人 | Rank:10 漏洞数:1 | 我读书少,你要骗我,我就坑你!)

    @北京陌陌科技有限公司 【“陌陌”聊天遭抢劫 民警现场擒劫犯】女子玲玲(化名)在“陌陌”上聊天数日后与男网友相约见面,不料男网友欲行抢劫,北京劲松派出所接警后及时赶到,当场抓获嫌疑人。目前,嫌疑人李某因涉嫌抢劫已被警方依法刑事拘留,此案还在进一步审理中。警方提示:网络交友要谨慎,应保持防范意识。

  8. 2014-07-25 10:33 | 小怿 ( 路人 | Rank:29 漏洞数:6 | )

    @北京陌陌科技有限公司 明白,你们只是提供了一个平台,只能说是一个用户愿打一个用户愿挨。。我的比喻不恰当哈。。

  9. 2014-08-04 01:19 | hcyoo ( 路人 | Rank:4 漏洞数:4 | 自从得了精神病,感觉整个人都精神多了。)

    嚯嚯,漏洞作者加对方的MOMO号,然后- -。。。七天,如家什么的就不用多说了吧

  10. 2014-08-04 14:08 | 北京陌陌科技有限公司(乌云厂商)

    @hcyoo 什么意思

  11. 2014-08-04 14:21 | 小怿 ( 路人 | Rank:29 漏洞数:6 | )

    @北京陌陌科技有限公司 估计开玩笑呢,别误会喔。

  12. 2014-08-04 14:34 | hcyoo ( 路人 | Rank:4 漏洞数:4 | 自从得了精神病,感觉整个人都精神多了。)

    @北京陌陌科技有限公司 大大表误会,玩笑而已,楼上已有这样的回答

  13. 2014-08-04 14:39 | 小怿 ( 路人 | Rank:29 漏洞数:6 | )

    @hcyoo 难道是@北京陌陌科技有限公司 在卖萌吗!哇!你还萌呀!萌呀!估计是个纯洁的妹纸吧!!

  14. 2014-08-04 20:41 | hcyoo ( 路人 | Rank:4 漏洞数:4 | 自从得了精神病,感觉整个人都精神多了。)

    @小怿 雅蠛蝶,我要和萌妹纸深交,做朋友。@北京陌陌科技有限公司

  15. 2014-08-04 21:23 | 小怿 ( 路人 | Rank:29 漏洞数:6 | )

    @hcyoo =.= 你又不提他们的漏洞,加什么陌陌加陌陌!快去加吧!萌妹纸的陌陌&QQ是1972097 ^-^

  16. 2014-08-05 11:07 | 北京陌陌科技有限公司(乌云厂商)

    @hcyoo @小怿 你们想多了,我是抠脚大汉

  17. 2014-08-05 13:59 | 小怿 ( 路人 | Rank:29 漏洞数:6 | )

    @北京陌陌科技有限公司 至于@hcyoo 信不信,我反正不信!萌妹纸你在卖萌吗!

  18. 2014-08-05 14:00 | hcyoo ( 路人 | Rank:4 漏洞数:4 | 自从得了精神病,感觉整个人都精神多了。)

    @北京陌陌科技有限公司 就算你是抠脚大汉我也对你感兴趣,也许你的闺蜜更漂亮呢