当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0111974

漏洞标题:恒昌财富及旗下恒易融/恒昌好车网站数据库疑似黑产交易可能导致用户资料泄露(安全情报目前不确认请企业自查)

相关厂商:credithc.com

漏洞作者: 路人甲

提交时间:2015-05-05 09:14

修复时间:2015-05-05 14:04

公开时间:2015-05-05 14:04

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-05: 细节已通知厂商并且等待厂商处理中
2015-05-05: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

恒昌财富及旗下恒易融、恒昌好车网站遭受攻击,数据库曝光,数十万用户隐私资料泄露,数亿级资金安全无法保障

详细说明:

恒昌财富及旗下恒易融、恒昌好车网站遭受攻击,数据库曝光,数十万用户隐私资料泄露,数亿级资金安全无法保障
恒昌公司总部位于北京,注册资金3000万元,是一家集提供财富管理及借款咨询服务与对接、信用风险评估与管理、信用数据整合服务等服务于一体的综合性现代服务类企业,旗下有恒昌利通、恒昌汇财、恒昌惠诚、恒易融等平台。
近期某黑客论坛中有人在出售恒昌财富、恒易融、恒昌好车等P2P平台数十万用户数据资料数据库,包含用户账号密码,姓名,身份证复印件、银行卡复印件,手机号,合同资料等大量敏感信息,网站疑似被黑客入侵并“拖库”, 用户账户信息与个人关键隐私信息在“黑产”(网络数据买卖黑色产业链)上进行交易,目前已有数十名曾在该P2P平台注册过的用户接到诈骗电话或骚扰电话以及垃圾短信。本次数据库曝光,用户个人隐私泄漏,投资者账户随意登录,资金受到极大威胁,平台数亿资金岌岌可危。
以下为黑客论坛中发出的泄露的用户资料、身份证、银行卡复印件

漏洞证明:

4af78dc53f1c11c4366237c5b3261766x1000x1500.jpg

8e8b7dd24bbbce490874cdcc175cca26x1000x1500.jpg

QQ截图20150503022913.png

QQ截图20150503023011.png

QQ图片20150503023209.png

Unnamed QQ Screenshot20150503025048.gif

Unnamed QQ Screenshot20150503025048.gif

修复方案:

请网站技术人员修复

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-05-05 14:04

厂商回复:

关于恒昌财富及旗下系统遭受攻击数据库曝光虚假恶意诋毁信息,恒昌技术澄清说明:
1、当前恒昌财富系统运行稳定正常,没有暴库信息泄露问题。
2、恶意人员散布虚假信息接毁坏恒昌名誉,恒昌会采取法律手段追究其刑事责任。
3、攻击暴库虚假信息散布者,所贴图片不是攻击暴库后台用户信息,是其他正常用户系统访问业务操作界面截图信息,更也不是恒易融平台业务范畴;恶意言论张冠李戴、混淆视听、恶意中伤、严重与恒昌现有业务不符。
4、如果是漏洞暴库攻击,这个虚假漏洞描述消息没有提供攻击的系统网址链接URL、漏洞类型与特征、注入点及后台数据库暴库信息等基本的漏洞描述。
5、我方通过以上技术澄清已明此条漏洞信息是虚假的,请乌云尽快撤销此关于恒昌的虚假漏洞信息。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-05-05 14:48 | xiaogui ( 实习白帽子 | Rank:88 漏洞数:24 | 围观大牛来了~~~)

    这。。。都贴出来后台截图了,还能是假的?管理系统应该不是正常普通用户能访问到的吧。。。路人甲背锅。。。

  2. 2015-05-05 15:17 | 沧浪浪拔出保健 ( 普通白帽子 | Rank:184 漏洞数:18 | @互联网的那点事)

    企业说的好,就是有一事不明。。这是管理后台不??

  3. 2015-05-05 15:21 | 问题来了 ( 普通白帽子 | Rank:201 漏洞数:23 | 挖漏洞哪家强)

    这里是技术性平台,这里 PR 没鸟用.用事实说话..大家一看图便知真假..不是几句话就能抵赖掉的.

  4. 2015-05-05 15:30 | prolog ( 普通白帽子 | Rank:544 漏洞数:107 | 低调求发展)

    洞主快细软跑

  5. 2015-05-05 16:21 | 浮世浮城 ( 普通白帽子 | Rank:284 漏洞数:60 | 我存于这俗世烟火的浮世,我爱这时光倒影的...)

    注册一个帐号特地来为写那么多,说真的 有漏洞不可怕 可怕的是不正视自己的缺点。

  6. 2015-05-05 16:41 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    我已经找到注入点了....要不要提交呢...

  7. 2015-05-05 16:53 | xiaogui ( 实习白帽子 | Rank:88 漏洞数:24 | 围观大牛来了~~~)

    @子非海绵宝宝 有勇气啊,骚年,碰到这样的厂商我都是绕道的

  8. 2015-05-05 16:55 | 天地不仁 以万物为刍狗 ( 普通白帽子 | Rank:977 漏洞数:264 | 天地本不仁 万物为刍狗)

    @子非海绵宝宝 骚年 不怕厂商告你 你就尽管提交吧···

  9. 2015-05-05 17:31 | 捕蝇者 ( 路人 | Rank:2 漏洞数:2 | 老菜一个)

    碉堡了,不过我提的漏洞什么时候审核

  10. 2015-05-05 18:14 | Yang ( 普通白帽子 | Rank:247 漏洞数:86 | 作为菜鸟,大米手机摔破了怎么办?)

    头一回在乌云看到这样的回复,哈哈哈

  11. 2015-05-05 18:42 | Mr.R ( 实习白帽子 | Rank:52 漏洞数:14 | 求大神带我飞 qq2584110147)

    最后一句才是真实想法吧

  12. 2015-05-05 19:43 | 一根寒毛 ( 路人 | Rank:17 漏洞数:2 | 野火烧不尽,春风吹又生!)

    哎 这条消息要是被媒体散播开 估计会对他们的企业照成很大的影响的

  13. 2015-05-05 20:45 | DeadSea ( 实习白帽子 | Rank:86 漏洞数:28 | 静心)

    醉了 不脱裤真是对不起你

  14. 2015-05-05 21:08 | 脚本小伙 ( 实习白帽子 | Rank:52 漏洞数:15 | 小书童)

    这厂商真是b了狗了,越来约感觉乌云没办法保证白帽子的权益

  15. 2015-05-05 22:46 | Keen ( 路人 | Rank:2 漏洞数:1 | ...)

    这厂商也是日了狗了,乱咬人,建议直接脱裤,直接匿名发在网上,看他们怎么狡辩。

  16. 2015-05-05 23:13 | Mujj ( 实习白帽子 | Rank:58 漏洞数:4 | IDC商)

    http://www.p2peye.com/thread-361120-1-1.html

  17. 2015-05-06 07:48 | 恒昌利通(乌云厂商)

    这是对我ddos攻击后在各论坛发出的造谣帖子,此系统是测试系统、测试帐号。昨天白帽提交的盲注的确存在,但和这个不是一个系统、通过域名可以知道是我们对客户展示系统,不对外开放,已经下线。在此谢谢乌云谢谢各白帽。

  18. 2015-05-06 10:39 | hey_man ( 路人 | Rank:8 漏洞数:2 | A man)

    在乌云要低调,小心菊花被人爆烂了

  19. 2015-05-06 13:35 | set ( 实习白帽子 | Rank:41 漏洞数:7 | Especially for you)

    冲锋号已经吹响、兄弟们开始爆菊花

  20. 2015-05-08 16:31 | 健宇 ( 普通白帽子 | Rank:131 漏洞数:14 | tools kid)

    厂商好屌,哈哈,乌云有三种厂商,被日了勇于接受的,被日了不承认的,还有这种被日了不但不承认还各种威胁恐吓的,建议整理个无量厂商名单吧,别哪天白帽子好心提交个漏洞反而进去吃皇粮了

  21. 2015-05-09 00:49 | 冰封的心 ( 路人 | Rank:10 漏洞数:2 | 会免杀、会搞基、会3P.....)

    这种厂商就是脑子秀逗了,好心提交你的系统漏洞,还要威胁、恐吓别人??难道你想被人私底下被人脱裤爆菊花,骚年 你的口味真重~~!