漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0142022
漏洞标题:支付宝部分用户信息泄漏包含登录名加密码加支付密码余额等
相关厂商:阿里巴巴
漏洞作者: 红客十年
提交时间:2015-09-18 18:10
修复时间:2015-11-06 22:28
公开时间:2015-11-06 22:28
漏洞类型:用户资料大量泄漏
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-09-18: 细节已通知厂商并且等待厂商处理中
2015-09-22: 厂商已经确认,细节仅向厂商公开
2015-10-02: 细节向核心白帽子及相关领域专家公开
2015-10-12: 细节向普通白帽子公开
2015-10-22: 细节向实习白帽子公开
2015-11-06: 细节向公众公开
简要描述:
测试中竟然发现有妹子帐号还可以看妹子买啥了。。。。加妹子为好友展开一段情缘。呵呵
由于内容敏感请公开的时候打码
详细说明:
网上流传的一份支付宝数据看时间是2015.9.9号的数据不知道来源是哪里
测试一些帐号登录
wjmyx_xpz@sina.com----my19880831----t-2051307022-1----无----无----2015-06-15----无认证----2014年04月04日----王建铭----1****************6----未认证----认证等级:----你的名下共有0个账户----139****3015----余额:0.00----已开启----余额宝:0.00----花呗:0----1张银行卡----您设置了0个安全保护问题----无数字证书----通过银行卡验证----通过“验证短信+验证身份证件”----通过人工服务----通过验证支付密码
zengnifreeroom@sina.com----860125----未绑定淘宝账户----无----无--------无认证----2007年12月28日----曾妮----4****************5----未认证----认证等级:----你的名下共有0个账户----134****1660----余额:3.00----已开启----余额宝:----花呗:0----0张银行卡----您设置了1个安全保护问题----无数字证书----通过验证短信----通过验证电子邮箱----通过回答安全保护问题----通过人工服务----通过验证支付密码----我的小学校名是什么
pyymfkjjj@sina.com----immfkjjj5021980----immfkjjj----4心----无----2009-09-18----实名认证----2009年09月18日----彭莹莹----3****************1----已认证----认证等级:实名认证(v2)----你的名下共有1个账户----152****2728----余额:0.00----已开启----余额宝:----花呗:6000----2张银行卡----您设置了3个安全保护问题----无数字证书----通过银行卡验证----通过“验证短信+验证身份证件”----通过“验证短信+回答安全保护问题”----通过“回答安全保护问题+验证电子邮箱”----通过人工服务----通过验证支付密码----我外公的名字是----我哥哥的出生地是----我妈妈的出生地是
数据无法上传,我上传在百度云测试的时候下载吧。
链接:http://pan.baidu.com/s/1bnseDiv 密码:sin6
漏洞证明:
修复方案:
版权声明:转载请注明来源 红客十年@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:6
确认时间:2015-09-22 22:27
厂商回复:
亲,经确认,数据量偏少,且大部分账号已纳入防护。感谢您对阿里巴巴安全的关注!
最新状态:
暂无