漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-015090
漏洞标题:腾讯QQ的密保手机验证无次数限制,补卡狗的专利!
相关厂商:腾讯
漏洞作者: 老笨蛋
提交时间:2012-11-22 11:45
修复时间:2013-01-06 11:46
公开时间:2013-01-06 11:46
漏洞类型:设计缺陷/逻辑错误
危害等级:低
自评Rank:1
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-11-22: 细节已通知厂商并且等待厂商处理中
2012-11-22: 厂商已经确认,细节仅向厂商公开
2012-12-02: 细节向核心白帽子及相关领域专家公开
2012-12-12: 细节向普通白帽子公开
2012-12-22: 细节向实习白帽子公开
2013-01-06: 细节向公众公开
简要描述:
腾讯QQ的密保手机验证无次数限制,补卡狗的专利!
详细说明:
go,手机安全中心:
第一步:
https://aq.qq.com/cn2/findpsw/mobile_web_find_input_account
输入绑定了密保手机的账号。
第二步:
选择“通过密保验证”
第三步:
选择“通过密保手机验证”
坑爹的事情出现了,这时免密码测试安全手机对错!
已知手机头三位和后两位,社工一下,得知手机所在地的号段……接着工作量大一点,但还是可以完成的:)
得到了密保手机,该干什么干什么去吧。
腾讯的密保措施中设定的安全手机能够改掉其它一切密保手段,并且12小时即可更换。各地电信公司晚上18:00时到次日8:00时后台操作人员不上班,这给补卡盗号集团留了很大的空子可钻:只要查出密保手机,伪造虚假身份证,利用运营商不严格的验证机制补卡,然后即可盗走号码。
现在不少论坛里都吵开了,一伙不怕死的犯罪团伙专门通过补手机卡来盗QQ并非法出售。
最为精彩的是有一个QQ1116111 昵称“追风”的人,公开在他的淘宝上售卖这些被补卡盗走的QQ号。啧啧~~~
QQ:1116111 手机:13953952886 QQ交流群:900075
http://1116111.taobao.com/
既然有不怕死想吃牢饭的人,腾讯公司也该管管吧:)要想知道哪些号近期被补卡了,我也可以提供一些信息给你们。
漏洞证明:
修复方案:
版权声明:转载请注明来源 老笨蛋@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:6
确认时间:2012-11-22 14:29
厂商回复:
非常感谢您的报告。这个问题我们已经确认,正在与相关人员进行沟通制定解决方案。如有任何新的进展我们将会及时同步。
最新状态:
暂无