当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0145586

漏洞标题:腾讯云客服体系存在被社工漏洞(万能的导致用户信息泄露)

相关厂商:腾讯

漏洞作者: 撸管

提交时间:2015-10-09 18:21

修复时间:2015-10-12 10:04

公开时间:2015-10-12 10:04

漏洞类型:内容安全

危害等级:中

自评Rank:8

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-09: 细节已通知厂商并且等待厂商处理中
2015-10-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

今天,有一个云购网站,亏了2000大洋。,
不服气阿,想黑啊,但是吧,没漏洞 -.-
那就想到了社工,首先我不知道他的服务器在哪注册的。
突然在QQ聊天发个网址,发现这个网址是腾讯云安全认证的。,
那么好,找客服!

54a60aaeb2fff.png


其实这个查备案的问题,严重等级可以说是低,
但是呢,看下面。
因为网站接入了大禹抗攻击。找不到源IP,所以,

54a60aaeb2fff.png


哇擦,获得了IP,能干吗???
直接DDoS他阿,那么,什么大禹什么CDN,还有啥用?
我们把信息交给了企业,企业CEO不会泄露我们的信息,但是客服,难说了。
网络上有那么个东西,叫做社工库。
获得了QQ,获得了IP,不知道查了社工库,是否能猜弱口令。
获得了QQ,不知道是否可以申诉或者社工得到QQ密码,进行登录腾讯云,
审核大大,通过吧,1rank也行,但是这个客服体系,真的太危险了。。

漏洞证明:

54a60aaeb2fff.png


54a60aaeb2fff.png


修复方案:

客服需要严格培训

版权声明:转载请注明来源 撸管@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-10-12 10:04

厂商回复:

非常感谢您的反馈

最新状态:

暂无


漏洞评价:

评论

  1. 2015-10-09 19:17 | 撸管 ( 路人 | Rank:4 漏洞数:5 | 放下游戏,和我一起撸管吧)

    差一个wb就能进社区了,啊啊啊啊

  2. 2015-10-12 10:29 | 独奏大表哥 ( 路人 | Rank:2 漏洞数:1 | 本人学识渊博,经验丰富,代码风骚,效率恐...)

    @撸管 哈哈,我一个都没啦