当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0149392

漏洞标题:邮乐合作方我来贷敏感信息泄露(至少十多万客户信息)

相关厂商:上海邮乐网络技术有限公司

漏洞作者: 天地不仁 以万物为刍狗

提交时间:2015-10-26 10:55

修复时间:2015-12-10 13:28

公开时间:2015-12-10 13:28

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-26: 细节已通知厂商并且等待厂商处理中
2015-10-26: 厂商已经确认,细节仅向厂商公开
2015-11-05: 细节向核心白帽子及相关领域专家公开
2015-11-15: 细节向普通白帽子公开
2015-11-25: 细节向实习白帽子公开
2015-12-10: 细节向公众公开

简要描述:

用户姓名,手机号码,性别,年龄,客户类别,注册渠道,Product_Code,学校名称,学校类别,公司名称,是否代理所在学校,学校所在区域,注册日期,终端编号,登录平台,学校所在省,学校所在市,学历,贷款号,是否首次贷款,申请年,申请月,申请日,申请时间,申请金额,申请期限,系统审批,人工审批,审批状态,审批原因,产品名称,审批金额,还款期数,审批通过日期,审批通过时间,提现日期,绑定借记卡,所属银行,月还款额,推荐人姓名,推荐人手机号,推荐人所在学校,推荐人是否代理,所在公司,,

详细说明:

一开始是下载 邮乐的 邮乐金融来测试的 结果···竟然就是 我来贷 的

0.png


下面就是正题了
https://github.com/liuchaox/welab_bi/blob/95e027b34b0b2845c0db3e1bd767d99d1a9631a6/etl/src/kettle/kettle.properties

1.png


看见邮箱 直接登录了进去 duang 的一下 就进去了

2.png


先来看下企业通讯录(一堆一堆的 没脱了)

3.png


然后我们在来看看 邮件(1380封)

4.png


接连看了些邮件 几乎全是申报的 这里就不截图了 但是···

5.png


看见这玩意就有趣多了

6.png


7.png


这是5m多的 信息不是很多 之前下了个13m的 我们来看看

8.png


这里面的信息就比较多,全了 而这只是其中的一两个邮件内容····

漏洞证明:

还有一位神队友也泄露了····
https://github.com/liuchaox/welab_bi/blob/95e027b34b0b2845c0db3e1bd767d99d1a9631a6/tools/pentaho-email-transfer/src/pentaho-email-transfer/pentaho_email_transfer.py

9.png

修复方案:

版权声明:转载请注明来源 天地不仁 以万物为刍狗@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-10-26 13:26

厂商回复:

非常感谢,正在和我来贷这边技术进行确认

最新状态:

2015-11-11:此bug为我来贷 内部系统业务缺陷,请移交至我来贷进行修复

漏洞评价:

评价

  1. 2015-11-11 17:16 | 上海邮乐网络技术有限公司(乌云厂商)

    此bug为我来贷 内部系统业务缺陷,请移交至我来贷进行修复