当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-016928

漏洞标题:中国公云网(3322.org)商用户资料大量泄漏

相关厂商:中国公云

漏洞作者: 李白

提交时间:2013-01-06 18:59

修复时间:2013-01-08 22:54

公开时间:2013-01-08 22:54

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-06: 细节已通知厂商并且等待厂商处理中
2013-01-07: 厂商已经确认,细节仅向厂商公开
2013-01-08: 厂商提前公开漏洞,细节向公众公开

简要描述:

中国公云你懂的,www.3322.org
当公云的数据也云了起来……
用户资料在QQ群中流传,
亲自测试,发现果然存在一定安全事件
这次大量泄漏,真的是大量大量大量。。

详细说明:

用户资料在QQ群中流传,
亲自测试,发现果然存在一定安全事件

群里.JPG

虽然上传才仅仅5天,就有21次下载,那如果继续传播呢?后果不堪设想是不是。
关于利用:

虽然这份数据有些陈旧,但是,我抽样10份中仍有2份是今天(注意是今天)更新过,最近的有2份,哪怕域名不利用,里面的身份证信息、电话号码也是十分值得利用,拿这个发诈骗短信,谁还不信?

漏洞证明:

The first,我们来看一下数目

.JPG

7609页.....我们按字数来算10字为一条,也就是说有1973341/10为一条,我们当他有的密码长一点吧,那就20字一条,那也有1973341/20=98667条,我们再算5条里有两条不准确的,那么就是98667/5*3=59200条....而众所周知,公云作为网商,里面的资料都是准确的(后面会证明)
各种身份证,各种电话号码,各种域名,这让我们情何以堪?
The second 资料准确性
抽样1:

1.jpg


抽样2:

2.JPG


抽样3:

3.jpg


抽样4:

4.jpg


整体:

信息5.JPG


我们抽样其中一条进行剖析:
05/05/2011 - 12:51:59 61.160.235.203 110.87.161.122 linsheng5188 692064 61.160.235.203 Basic (GET) 

日期时间不解释,第一个IP来自江苏省电信,经查证后为3322.org解析之后的IP,后面那个IP来自福建省福州市,且第二个IP在信息表内经常变动,可推测出此是此用户者的IP,后面分别是账号密码,又出现一个3322.org的IP。Basic是编程语言,(get)是得到。此时分为两种可能,一种是当时被劫持了,一种是钓鱼。我们结合多条信息(整体)一起分析,发现在信息都来自同一天的,且相距时间不超过4小时,由此我们可以推断出,在2011年5月5日,3322.org曾经发生过劫持,导致一时间登录的用户资料被获取后记录,导致非常庞大的用户资料泄露


修复方案:

愿意提供此份数据
如此庞大的数据量。
建议首先阻断本数据的流通情况
然后该提醒的提醒,该删除的删除。
李白想说,既然如此庞大的用户数,我们不妨可以首先同意屏蔽掉登录后的个人信息界面,马赛克掉身份证信息还有电话信息,再慢慢调查。
Good lucy for you!

版权声明:转载请注明来源 李白@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2013-01-07 11:02

厂商回复:

这个问题,是用户的密码,被嗅探器嗅探了

最新状态:

2013-01-08:我们以前在一个机房,同一网段有其他用户的 windows机器,互相没有划分vlan。他们的机器被中招过几次,然后发起arp攻击,抢夺网关,导致整个网段都不能上网。当时以为就是仅仅这个问题,后来发觉有两台windows机器被装了嗅探器,导致我们的linux机器被嗅探。2012.8.20 ,我们搬迁的新的机房,网络上我们完全独立,就不存在这个问题了。目前,我们对所有的老用户,都必须重新密码加固(使用注册邮箱重新获取密码)才能登录。

2013-01-08:谢谢李白的漏洞报告。但是:1、这个不是脱库2、文中提到“Basic是编程语言,(get)是得到”, 这个有误的。basic 这里是 http 的一种认证方式,对用户名和密码进行简单的编码。GET 是 http的方法