阿里小号存在泄漏支付宝账号或其他电商账号密码风险

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0105625

漏洞标题：阿里小号存在泄漏支付宝账号或其他电商账号密码风险

漏洞作者： DeadHeartGrass

提交时间：2015-04-03 17:39

修复时间：2015-04-04 16:22

公开时间：2015-04-04 16:22

漏洞类型：账户体系控制不严

危害等级：高

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-04-03：细节已通知厂商并且等待厂商处理中
2015-04-04：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

阿里小号的手机号中，存在部分号码是会存在注册了支付宝账号或其他互联网账号的情况，当使用小号的手机号作为手机号去支付宝做密码找回时，可以发现手机是否注册，若是注册可以进一步重置账号密码和支付密码。
阿里了小号每个月提高三个免费的号码使用，若是我搞十个小号就每个有就有30个账号使用。这时再去尝试各大电商！！！哈哈哈！！！

详细说明：

作为一名穷屌丝，没有钱买多部手机，在注册账号时老是泄露我的手机号码。。。。
当发现阿里小号的时候，立刻就买了个号码。。
但最近老是收到一些快递通知。。
结果去支付宝试试。。。发现居然可以重置小号的密码...这可就乐了。
看来阿里小号整个安全需要考虑下了，现在有明文规定“信息被泄露”是不合法的哦！

漏洞证明：

收到的快递提醒:

突然脑袋大开，跑去支付宝密码找回下：

获取验证码：

见到重置新密码界面好激动：

重置完再次登录，哈哈！

后续就不搞了，不然被抓怎么办！

修复方案：

1、建议阿里小号使用都是新的号码，以免出现如此验证的信息泄露问题。
2、或者在服务器上禁止各大电商的号码向已存在的小号发送短信。
3、有啥好的想法可以告诉下我哈！

版权声明：转载请注明来源 DeadHeartGrass@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-04-04 16:22

厂商回复：

亲，这属于已知漏洞，并且在其他运营商普遍存在。感谢你对我们的支持与关注。

漏洞Rank：15 (WooYun评价)

漏洞评价：

2015-04-06 12:05 | UltraEdit ( 路人 | Rank:4 漏洞数:1 | Ultraedit)

这不算漏洞吧,我还有个支付宝账号:admin@360.cn呢。
2015-04-06 20:02 | DeadHeartGrass ( 路人 | Rank:19 漏洞数:2 | 过来学习学习！)

@UltraEdit 可以说不是！但是确实可以利用阿里小号的号码来撞库！那你这个邮箱支付宝可以重置密码哥支付密码么？
2015-04-07 12:14 | UltraEdit ( 路人 | Rank:4 漏洞数:1 | Ultraedit)

@DeadHeartGrass 我也没说可以重置你的账号密码啊。我说前一阵还可以随意注册名称呢。
2015-04-07 17:34 | Arthur ( 实习白帽子 | Rank:77 漏洞数:33 | USA，I am coming！！！！！)

很好奇怎么得到的验证码
2015-04-09 14:58 | DeadHeartGrass ( 路人 | Rank:19 漏洞数:2 | 过来学习学习！)

@Arthur 通过阿里小号获取手机号码的使用权限，在用阿里小号的号码去撞库，尤其是使用手机号作为账号的网站。
2015-04-10 04:10 | 马崧耀 ( 路人 | Rank:11 漏洞数:1 | ~闲着没事偶尔玩玩)

逗逼，你会用小号注册的支付宝往里面存钱？绑银行卡？
2015-04-10 11:01 | DeadHeartGrass ( 路人 | Rank:19 漏洞数:2 | 过来学习学习！)

@马崧耀呵呵！阿里小号的电话号码哪里来？从运营商买来的号码都是新号码？
2015-04-10 16:51 | 马崧耀 ( 路人 | Rank:11 漏洞数:1 | ~闲着没事偶尔玩玩)

@DeadHeartGrass 那你换过一次手机，你会不去银行卡把绑定的手机改掉？都是别人废弃的号码了，这个号码下的东西，也不会有什么

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0105625

漏洞标题：阿里小号存在泄漏支付宝账号或其他电商账号密码风险

相关厂商：阿里巴巴

漏洞作者： DeadHeartGrass

提交时间：2015-04-03 17:39

修复时间：2015-04-04 16:22

公开时间：2015-04-04 16:22

漏洞类型：账户体系控制不严

危害等级：高

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 DeadHeartGrass@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0105625

漏洞标题：阿里小号存在泄漏支付宝账号或其他电商账号密码风险

相关厂商：阿里巴巴

漏洞作者： DeadHeartGrass

提交时间：2015-04-03 17:39

修复时间：2015-04-04 16:22

公开时间：2015-04-04 16:22

漏洞类型：账户体系控制不严

危害等级：高

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0105625"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 DeadHeartGrass@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：