漏洞概要
关注数(24)
关注此漏洞
漏洞标题:恒昌财富及旗下恒易融/恒昌好车网站数据库疑似黑产交易可能导致用户资料泄露(安全情报目前不确认请企业自查)
提交时间:2015-05-05 09:14
修复时间:2015-05-05 14:04
公开时间:2015-05-05 14:04
漏洞类型:用户资料大量泄漏
危害等级:高
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2015-05-05: 细节已通知厂商并且等待厂商处理中
2015-05-05: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
恒昌财富及旗下恒易融、恒昌好车网站遭受攻击,数据库曝光,数十万用户隐私资料泄露,数亿级资金安全无法保障
详细说明:
恒昌财富及旗下恒易融、恒昌好车网站遭受攻击,数据库曝光,数十万用户隐私资料泄露,数亿级资金安全无法保障
恒昌公司总部位于北京,注册资金3000万元,是一家集提供财富管理及借款咨询服务与对接、信用风险评估与管理、信用数据整合服务等服务于一体的综合性现代服务类企业,旗下有恒昌利通、恒昌汇财、恒昌惠诚、恒易融等平台。
近期某黑客论坛中有人在出售恒昌财富、恒易融、恒昌好车等P2P平台数十万用户数据资料数据库,包含用户账号密码,姓名,身份证复印件、银行卡复印件,手机号,合同资料等大量敏感信息,网站疑似被黑客入侵并“拖库”, 用户账户信息与个人关键隐私信息在“黑产”(网络数据买卖黑色产业链)上进行交易,目前已有数十名曾在该P2P平台注册过的用户接到诈骗电话或骚扰电话以及垃圾短信。本次数据库曝光,用户个人隐私泄漏,投资者账户随意登录,资金受到极大威胁,平台数亿资金岌岌可危。
以下为黑客论坛中发出的泄露的用户资料、身份证、银行卡复印件
漏洞证明:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-05-05 14:04
厂商回复:
关于恒昌财富及旗下系统遭受攻击数据库曝光虚假恶意诋毁信息,恒昌技术澄清说明:
1、当前恒昌财富系统运行稳定正常,没有暴库信息泄露问题。
2、恶意人员散布虚假信息接毁坏恒昌名誉,恒昌会采取法律手段追究其刑事责任。
3、攻击暴库虚假信息散布者,所贴图片不是攻击暴库后台用户信息,是其他正常用户系统访问业务操作界面截图信息,更也不是恒易融平台业务范畴;恶意言论张冠李戴、混淆视听、恶意中伤、严重与恒昌现有业务不符。
4、如果是漏洞暴库攻击,这个虚假漏洞描述消息没有提供攻击的系统网址链接URL、漏洞类型与特征、注入点及后台数据库暴库信息等基本的漏洞描述。
5、我方通过以上技术澄清已明此条漏洞信息是虚假的,请乌云尽快撤销此关于恒昌的虚假漏洞信息。
最新状态:
暂无
漏洞评价:
评论
-
2015-05-05 14:48 |
xiaogui ( 实习白帽子 | Rank:88 漏洞数:24 | 围观大牛来了~~~)
这。。。都贴出来后台截图了,还能是假的?管理系统应该不是正常普通用户能访问到的吧。。。路人甲背锅。。。
-
2015-05-05 15:17 |
沧浪浪拔出保健 ( 普通白帽子 | Rank:184 漏洞数:18 | @互联网的那点事)
-
2015-05-05 15:21 |
问题来了 ( 普通白帽子 | Rank:201 漏洞数:23 | 挖漏洞哪家强)
这里是技术性平台,这里 PR 没鸟用.用事实说话..大家一看图便知真假..不是几句话就能抵赖掉的.
-
2015-05-05 15:30 |
prolog ( 普通白帽子 | Rank:544 漏洞数:107 | 低调求发展)
-
2015-05-05 16:21 |
浮世浮城 ( 普通白帽子 | Rank:284 漏洞数:60 | 我存于这俗世烟火的浮世,我爱这时光倒影的...)
注册一个帐号特地来为写那么多,说真的 有漏洞不可怕 可怕的是不正视自己的缺点。
-
2015-05-05 16:41 |
子非海绵宝宝 
( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)
-
2015-05-05 16:53 |
xiaogui ( 实习白帽子 | Rank:88 漏洞数:24 | 围观大牛来了~~~)
@子非海绵宝宝 有勇气啊,骚年,碰到这样的厂商我都是绕道的
-
2015-05-05 16:55 |
天地不仁 以万物为刍狗 ( 普通白帽子 | Rank:977 漏洞数:264 | 天地本不仁 万物为刍狗)
@子非海绵宝宝 骚年 不怕厂商告你 你就尽管提交吧···
-
2015-05-05 17:31 |
捕蝇者 ( 路人 | Rank:2 漏洞数:2 | 老菜一个)
-
2015-05-05 18:14 |
Yang ( 普通白帽子 | Rank:247 漏洞数:86 | 作为菜鸟,大米手机摔破了怎么办?)
-
2015-05-05 18:42 |
Mr.R ( 实习白帽子 | Rank:52 漏洞数:14 | 求大神带我飞 qq2584110147)
-
2015-05-05 19:43 |
一根寒毛 ( 路人 | Rank:17 漏洞数:2 | 野火烧不尽,春风吹又生!)
哎 这条消息要是被媒体散播开 估计会对他们的企业照成很大的影响的
-
2015-05-05 20:45 |
DeadSea ( 实习白帽子 | Rank:86 漏洞数:28 | 静心)
-
2015-05-05 21:08 |
脚本小伙 ( 实习白帽子 | Rank:52 漏洞数:15 | 小书童)
这厂商真是b了狗了,越来约感觉乌云没办法保证白帽子的权益
-
2015-05-05 22:46 |
Keen ( 路人 | Rank:2 漏洞数:1 | ...)
这厂商也是日了狗了,乱咬人,建议直接脱裤,直接匿名发在网上,看他们怎么狡辩。
-
2015-05-05 23:13 |
Mujj ( 实习白帽子 | Rank:58 漏洞数:4 | IDC商)
http://www.p2peye.com/thread-361120-1-1.html
-
2015-05-06 07:48 |
恒昌利通(乌云厂商)
这是对我ddos攻击后在各论坛发出的造谣帖子,此系统是测试系统、测试帐号。昨天白帽提交的盲注的确存在,但和这个不是一个系统、通过域名可以知道是我们对客户展示系统,不对外开放,已经下线。在此谢谢乌云谢谢各白帽。
-
2015-05-06 10:39 |
hey_man ( 路人 | Rank:8 漏洞数:2 | A man)
-
2015-05-06 13:35 |
set ( 实习白帽子 | Rank:41 漏洞数:7 | Especially for you)
-
2015-05-08 16:31 |
健宇 ( 普通白帽子 | Rank:131 漏洞数:14 | tools kid)
厂商好屌,哈哈,乌云有三种厂商,被日了勇于接受的,被日了不承认的,还有这种被日了不但不承认还各种威胁恐吓的,建议整理个无量厂商名单吧,别哪天白帽子好心提交个漏洞反而进去吃皇粮了
-
2015-05-09 00:49 |
冰封的心 ( 路人 | Rank:10 漏洞数:2 | 会免杀、会搞基、会3P.....)
这种厂商就是脑子秀逗了,好心提交你的系统漏洞,还要威胁、恐吓别人??难道你想被人私底下被人脱裤爆菊花,骚年 你的口味真重~~!