当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0160172

漏洞标题:永安大量员工使用弱密码(涉及重要系统)

相关厂商:永安财产保险股份有限公司

漏洞作者: 路人甲

提交时间:2015-12-11 09:55

修复时间:2015-12-16 09:56

公开时间:2015-12-16 09:56

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-11: 细节已通知厂商并且等待厂商处理中
2015-12-16: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

永安大量员工使用弱密码(涉及重要系统)

详细说明:

http://mail.yaic.com.cn/

1.png


2.png


sh_xialiping 434
biyu 434
jihongqu 434
muzhaohua 434
xa_shixiaoming 434
weiyonggang 434
yuyaru 434
xablzhoupeng 434
nc_shengjinmei 434
gaohonglei 434
gongminjs 434
nj_huangpuhui 434
nj_lumin 434
nj_xiayuhua 434
hjliujuan 434
密码都是123456

关于加强系统账号安全管理的紧急通知

2015年9月6日上午,总公司信息技术中心接到部分员工反馈,其收到以信息中心名义要求提供公司邮箱用户明、密码以及个人信息的邮件,经信息中心核查,该邮件为骗取个人重要信息的虚假邮件,具体情况如下:
1. 2015年9月3日前,某分公司员工李某等12名员工,部分员工邮箱密码设置简单(密码为1或888888等),造成邮箱被盗用。
2. 9月3日凌晨,不法分子利用以上12名员工邮箱,向公司1000多名员工发出虚假邮件,以信息中心名义收集邮箱密码等个人信息。
3. 截止目前,共17位员工按虚假邮件要求提供了个人信息(其中总公司10位,分公司7位)。
4. 信息中心发现后,立即通知被盗邮箱用户和提供个人信息的用户及时更改了邮箱密码。
现就该事件对所有员工要求如下:
1、 每位员工必须对个人拥有的公司系统用户及密码承担安全管理责任,系统密码等信息不允许交于他人使用。
2、 系统密码设置要求有一定复杂度。系统密码设置规则为:系统密码长度不得小于6位,且必须在英文大写、英文小写、数字和特殊符号四种规则中选择不少于3种,例如: Qa2w46
3、 总公司会适时强制部分系统密码的复杂度及有效时间。
4、 系统密码建议至少每3个月变更一次。
5、 (除现有软通系统运维支持工作外)总公司及所辖所有机构或个人,均不会以任何名义向员工索取系统用户及密码。
6、 在遇到疑似安全问题的邮件及通知时,请及时联系总公司运维热线咨询。(029-63601700)


漏洞证明:

http://mail.yaic.com.cn/

1.png


2.png


sh_xialiping 434
biyu 434
jihongqu 434
muzhaohua 434
xa_shixiaoming 434
weiyonggang 434
yuyaru 434
xablzhoupeng 434
nc_shengjinmei 434
gaohonglei 434
gongminjs 434
nj_huangpuhui 434
nj_lumin 434
nj_xiayuhua 434
hjliujuan 434
密码都是123456

关于加强系统账号安全管理的紧急通知

2015年9月6日上午,总公司信息技术中心接到部分员工反馈,其收到以信息中心名义要求提供公司邮箱用户明、密码以及个人信息的邮件,经信息中心核查,该邮件为骗取个人重要信息的虚假邮件,具体情况如下:
1. 2015年9月3日前,某分公司员工李某等12名员工,部分员工邮箱密码设置简单(密码为1或888888等),造成邮箱被盗用。
2. 9月3日凌晨,不法分子利用以上12名员工邮箱,向公司1000多名员工发出虚假邮件,以信息中心名义收集邮箱密码等个人信息。
3. 截止目前,共17位员工按虚假邮件要求提供了个人信息(其中总公司10位,分公司7位)。
4. 信息中心发现后,立即通知被盗邮箱用户和提供个人信息的用户及时更改了邮箱密码。
现就该事件对所有员工要求如下:
1、 每位员工必须对个人拥有的公司系统用户及密码承担安全管理责任,系统密码等信息不允许交于他人使用。
2、 系统密码设置要求有一定复杂度。系统密码设置规则为:系统密码长度不得小于6位,且必须在英文大写、英文小写、数字和特殊符号四种规则中选择不少于3种,例如: Qa2w46
3、 总公司会适时强制部分系统密码的复杂度及有效时间。
4、 系统密码建议至少每3个月变更一次。
5、 (除现有软通系统运维支持工作外)总公司及所辖所有机构或个人,均不会以任何名义向员工索取系统用户及密码。
6、 在遇到疑似安全问题的邮件及通知时,请及时联系总公司运维热线咨询。(029-63601700)


修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-12-16 09:56

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

2015-12-16:计划于2016年1月1日启用新的密码策略。

2016-01-12:已修复


漏洞评价:

评价