烏云曝淘寶用戶賬號信息泄露漏洞
責(zé)編:admin |2014-11-28 12:57:26今日,烏云漏洞公開了一個關(guān)于導(dǎo)致任意淘寶賬號信息泄露的漏洞。該漏洞于10月13日由烏云白帽子謝祥應(yīng)提出,通過這個漏洞可以獲取淘寶會員的姓名、手機、郵箱信息。目前,廠商已經(jīng)確認漏洞并進行恢復(fù)。
白帽子謝祥表示,在淘寶購物拍下一件商品后申請代付,寫上需要查的淘寶賬號。到確認時,查找以“2008”開頭的源代碼,找到:
<input type="hidden" name="peerPayerCardNo" value="2088412456214924") />
這步也可以在代付記錄里審核元素查看,然后在火狐上模擬手機訪問網(wǎng)頁,跳轉(zhuǎn)到手機版付款界面,選擇其他方式支付。
根據(jù)下圖所示,進行代碼替換。
具體操作參見漏洞演示視頻,如下:
通過以上視頻中演示的這個方法可以查詢會員的支付寶電話。如果這些被泄露的電話落到壞人手里就可以實施一系列的詐騙活動。為什么近期那么多人接到說是淘寶客服的電話呢?原因在于很多人已經(jīng)掌握了這個漏洞,現(xiàn)在市面上很多采集軟件能自動采集淘寶網(wǎng)全網(wǎng)沒有匿名的用戶。在此,小編提醒淘寶用戶小心被釣魚。
值得一提的是,淘寶存在的安全問題已不是第一次被曝光。今年2月份,烏云平臺就曾曝出淘寶安全認證機制存在漏洞,黑客可以簡單利用該漏洞登錄他人淘寶/支付寶賬號進行操作——任何人無需密碼,只需通過搜索引擎、便可直接獲取其他用戶的隱私(賬戶余額、交易記錄、收貨地址、姓名手機號碼等敏感信息)。去年10月,烏云漏洞平臺亦發(fā)布信息報告稱,阿里推出的移動通信軟件“來往”出現(xiàn)安全漏洞。漏洞描述中稱“來往導(dǎo)致淘寶賬號可被破解,波及余額寶支付寶。”而在阿里將淘寶、支付寶、來往等賬號打通的背后,但凡有一端出現(xiàn)漏洞,其它賬號也將受牽連。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧