漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0145586
漏洞标题:腾讯云客服体系存在被社工漏洞(万能的导致用户信息泄露)
相关厂商:腾讯
漏洞作者: 撸管
提交时间:2015-10-09 18:21
修复时间:2015-10-12 10:04
公开时间:2015-10-12 10:04
漏洞类型:内容安全
危害等级:中
自评Rank:8
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-10-09: 细节已通知厂商并且等待厂商处理中
2015-10-12: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
RT
详细说明:
今天,有一个云购网站,亏了2000大洋。,
不服气阿,想黑啊,但是吧,没漏洞 -.-
那就想到了社工,首先我不知道他的服务器在哪注册的。
突然在QQ聊天发个网址,发现这个网址是腾讯云安全认证的。,
那么好,找客服!
其实这个查备案的问题,严重等级可以说是低,
但是呢,看下面。
因为网站接入了大禹抗攻击。找不到源IP,所以,
哇擦,获得了IP,能干吗???
直接DDoS他阿,那么,什么大禹什么CDN,还有啥用?
我们把信息交给了企业,企业CEO不会泄露我们的信息,但是客服,难说了。
网络上有那么个东西,叫做社工库。
获得了QQ,获得了IP,不知道查了社工库,是否能猜弱口令。
获得了QQ,不知道是否可以申诉或者社工得到QQ密码,进行登录腾讯云,
审核大大,通过吧,1rank也行,但是这个客服体系,真的太危险了。。
漏洞证明:
修复方案:
客服需要严格培训
版权声明:转载请注明来源 撸管@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-10-12 10:04
厂商回复:
非常感谢您的反馈
最新状态:
暂无