漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0111974
漏洞标题:恒昌财富及旗下恒易融/恒昌好车网站数据库疑似黑产交易可能导致用户资料泄露(安全情报目前不确认请企业自查)
相关厂商:credithc.com
漏洞作者: 路人甲
提交时间:2015-05-05 09:14
修复时间:2015-05-05 14:04
公开时间:2015-05-05 14:04
漏洞类型:用户资料大量泄漏
危害等级:高
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-05-05: 细节已通知厂商并且等待厂商处理中
2015-05-05: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
恒昌财富及旗下恒易融、恒昌好车网站遭受攻击,数据库曝光,数十万用户隐私资料泄露,数亿级资金安全无法保障
详细说明:
恒昌财富及旗下恒易融、恒昌好车网站遭受攻击,数据库曝光,数十万用户隐私资料泄露,数亿级资金安全无法保障
恒昌公司总部位于北京,注册资金3000万元,是一家集提供财富管理及借款咨询服务与对接、信用风险评估与管理、信用数据整合服务等服务于一体的综合性现代服务类企业,旗下有恒昌利通、恒昌汇财、恒昌惠诚、恒易融等平台。
近期某黑客论坛中有人在出售恒昌财富、恒易融、恒昌好车等P2P平台数十万用户数据资料数据库,包含用户账号密码,姓名,身份证复印件、银行卡复印件,手机号,合同资料等大量敏感信息,网站疑似被黑客入侵并“拖库”, 用户账户信息与个人关键隐私信息在“黑产”(网络数据买卖黑色产业链)上进行交易,目前已有数十名曾在该P2P平台注册过的用户接到诈骗电话或骚扰电话以及垃圾短信。本次数据库曝光,用户个人隐私泄漏,投资者账户随意登录,资金受到极大威胁,平台数亿资金岌岌可危。
以下为黑客论坛中发出的泄露的用户资料、身份证、银行卡复印件
漏洞证明:
修复方案:
请网站技术人员修复
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-05-05 14:04
厂商回复:
关于恒昌财富及旗下系统遭受攻击数据库曝光虚假恶意诋毁信息,恒昌技术澄清说明:
1、当前恒昌财富系统运行稳定正常,没有暴库信息泄露问题。
2、恶意人员散布虚假信息接毁坏恒昌名誉,恒昌会采取法律手段追究其刑事责任。
3、攻击暴库虚假信息散布者,所贴图片不是攻击暴库后台用户信息,是其他正常用户系统访问业务操作界面截图信息,更也不是恒易融平台业务范畴;恶意言论张冠李戴、混淆视听、恶意中伤、严重与恒昌现有业务不符。
4、如果是漏洞暴库攻击,这个虚假漏洞描述消息没有提供攻击的系统网址链接URL、漏洞类型与特征、注入点及后台数据库暴库信息等基本的漏洞描述。
5、我方通过以上技术澄清已明此条漏洞信息是虚假的,请乌云尽快撤销此关于恒昌的虚假漏洞信息。
最新状态:
暂无