当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-089703

漏洞标题:被忽略的汽车上的安全问题(影响多个省市地区上千万辆车辆车主资料)

相关厂商:cncert国家互联网应急中心

漏洞作者: 蜉蝣

提交时间:2015-01-02 15:51

修复时间:2015-01-04 13:42

公开时间:2015-01-04 13:42

漏洞类型:用户资料大量泄漏

危害等级:低

自评Rank:1

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-02: 细节已通知厂商并且等待厂商处理中
2015-01-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

RT

详细说明:

QQ图片20150102130352.jpg

QQ图片20150102130809.jpg

QQ图片20150102130839.jpg

车辆识别代码号作为车辆的身份证,用于汽车上的一组独一无二的号码。大多被标于仪表盘左侧。以前一直以为那个不是车辆识别代码,车辆识别代码只出现在机动车行驶证上,以及发票上。 利用车辆识别代码加上车牌号,1:可查车辆违章记录,这个貌似全国都可查。2:多的省市地区的网上车管所,可凭借车辆识别代码加车牌号,修改机动车联系地址,联系手机号,或者查看机动车联系资料

漏洞证明:

QQ图片20150102131907.jpg


危害就不多说了
随便找了几个存在这一问题的网上车管所

郑州	http://218.28.0.78:8090/
黑龙江省 http://www.hljjj.gov.cn:8081/Home/vehcx
潍坊 http://119.191.61.214:9080/wscgsxxcx/jdccx.do
成都 http://www.cdjg.gov.cn/WebService/OnlineWork/QueryDrvOrVeh/QueryVeh.aspx
聊城 http://www.lcwscgs.com/wscgsxxcx/jdccx.do
苏州 http://www.szcgs.com.cn/wscgs2/Jdcyw.aspx?dh=002018
衢州 http://gajadmin.qz.gov.cn/was/portals/traffic/carinfocharge/trafficinfocharge1.jsp
金华 http://www.jhga.gov.cn/Service/interface/jdcInfo.aspx
潍坊 http://119.191.61.214:9080/wscgsxxcx/jdccx.do


这些网站还不是全部,本以为买车时候填个人资料时,车管所会保管好自己的资料。没想到自己的资料就写在车上,任意一个人想看就看到了。以后看到个土豪妹子开车,就可以查查她住址,邮寄个跳蛋过去

修复方案:

限制

版权声明:转载请注明来源 蜉蝣@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-01-04 13:42

厂商回复:

暂不认定为技术风险。未列入处置流程。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-01-03 08:43 | 阿萨帝 ( 实习白帽子 | Rank:91 漏洞数:68 | 不发礼物的索要联系方式都是耍流氓。)

    啊,、、、我没买车。

  2. 2015-01-04 16:38 | 蜉蝣 ( 实习白帽子 | Rank:93 漏洞数:24 )

    @cncert国家互联网应急中心凭车牌架车辆识别代码就可查车主住址,电话这个貌似只能警察以及车管所有权限查吧? 住址和电话这类资料泄露被利用去诈骗,盗窃后果应该会很严重吧,马路上豪车一大把,轻松知道土豪家庭住址,这个虽然没技术,但是也是漏洞啊。很多地方的网上车管所需要车主身份证,车辆发动机号,,,才可以查看车主资料。@疯狗