漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-072220
漏洞标题:阿里巴巴旗下的阿里云邮箱找回密码方式判断不严谨,涉及支付宝,会被恶意偷盗(其他支付宝账号也可能受影响)
相关厂商:阿里巴巴
漏洞作者: 路人甲
提交时间:2014-08-15 15:42
修复时间:2014-09-29 18:34
公开时间:2014-09-29 18:34
漏洞类型:账户体系控制不严
危害等级:高
自评Rank:12
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-08-15: 细节已通知厂商并且等待厂商处理中
2014-08-18: 厂商已经确认,细节仅向厂商公开
2014-08-28: 细节向核心白帽子及相关领域专家公开
2014-09-07: 细节向普通白帽子公开
2014-09-17: 细节向实习白帽子公开
2014-09-29: 细节向公众公开
简要描述:
阿里云邮箱(mail.aliyun.com)是阿里巴巴旗下的唯一邮箱。其通过“找回登录密码”的方式找回密码,存在系统判断缺陷,判断不严谨,会造成被恶意偷盗,无需知道密码,直接绕过而修改密码。
详细说明:
此漏洞涉及2013年四月份以后注册的大部分邮箱
1、首先登录支付宝首页:www.alipay.com,解释:注册阿里云邮箱后同时自动注册了支付宝,此漏洞便通过支付宝来实现。
2、在支付宝登录的地方,点“忘记登录密码?”
3、以“9093@aliyun.com”为例,如下图:
4、找回方式,选择“通过人工服务”,如下图:
5、接着选择“忘记邮箱密码,无法进入邮箱”,输入一个其他邮箱,例如163的邮箱,如下图:
6、进入你刚才输入的163邮箱的收件箱,会收到一份支付宝的邮件,点击进去打开会进入一个验证页面,如下图:
重点来了:一共有两个重点
第一个,为什么我会知道答案呢?因为阿里云邮箱注册规则,一开始是需要其他一个邮箱来注册的,而阿里云邮箱注册成功后,往往前缀是和你所选择的注册时使用的邮箱是一样的。例如9093@90yss.com这个邮箱来注册阿里云邮箱,那么最后注册成功的阿里云邮箱就是9093@aliyun.com。所以答案很容易被猜到!
第二个重点,是漏洞的关键。很多朋友测试的时候,最后出现的验证问题,不止图上的两个,甚至还有验证身份证和手机信息。
那为什么我测试的时候只需验证两个(有时甚至只有一个)形同虚设的问题呢?因为这是阿里云所谓的快捷找回方式,系统智能判断我为邮箱的主人,而提供给我了快捷找回方式。
但事实上我并不是邮箱的主人。
这是阿里云系统智能判断上的缺陷。
原因分析:在你注册并使用阿里云邮箱一段时间后,再去找回邮箱密码(别人的邮箱),系统会错误的判断你为邮箱的主人,而提供给你快捷找回方式。
漏洞证明:
管理员可以测试9091@aliyun.com这个邮箱。请仔细阅读详细说明中的“第二个重点”中的内容。
此漏洞曾多次报告给阿里云官方,但存在阿里云邮箱团队和支付宝团队之间的推诿,拒不承认漏洞存在。最后竟然给出了神回复:只有小范围的邮箱因为漏洞被盗的话,支付宝团队是不会承认的,也不会去处理的。
实在想不到,令人敬仰的阿里巴巴集体中也有寄生虫般过日子的混混。
现在成千上万的阿里云邮箱已经被盗了,要想找一个还存在能被漏洞偷走的测试邮箱不多了,9091@aliyun.com暂时还没被盗,管理员可以测试下。
是通过人工申诉找回的 我仅仅知道他手机号而已 且无需填写验证码 而且经测试 怀疑这里完全是程序判断 如果真是人工审核 那审核人员安全意识真的有待提高
阿里有很多搞安全的同学 应该知道在这个互联网时代 获得一些个人信息还是比较容易的 大数据 开房信息泄漏等等 这种疑似程序验证的“人工申诉”并不靠谱
修复方案:
用户方面防止被盗:可以将阿里云邮箱同名的支付宝注销掉,或者换掉支付宝的登录邮箱。
漏洞修复:阿里云系统优化,防止出现将盗号者判断为邮箱主人。
或者取消所谓的快捷找回方式。
此漏洞7月份就被人利用了,但阿里云官方拒不承认,已造成了极大的危害,如阿里云想挽回局面,只能先修补完漏洞后再将邮箱数据回档到2014年6月才行。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2014-08-18 14:31
厂商回复:
亲,感谢你的关注,云邮箱注册及找密规则早前已进行优化处理。并且举例中所涉及的极个别账号已进行安全保护。非常感谢你的关注,也欢迎未来继续关注阿里云邮箱!
最新状态:
暂无