漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2011-03871
漏洞标题:支付宝用户大量泄漏,被用于网络营销
相关厂商:支付宝
漏洞作者: 梦想肥羊
提交时间:2011-12-28 21:42
修复时间:2012-02-11 21:42
公开时间:2012-02-11 21:42
漏洞类型:用户资料大量泄漏
危害等级:低
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2011-12-28: 细节已通知厂商并且等待厂商处理中
2011-12-29: 厂商已经确认,细节仅向厂商公开
2012-01-08: 细节向核心白帽子及相关领域专家公开
2012-01-18: 细节向普通白帽子公开
2012-01-28: 细节向实习白帽子公开
2012-02-11: 细节向公众公开
简要描述:
支付宝用户大量泄漏,被用于网络营销 泄漏总量达1500-2500W之多 泄漏时间不明,里面只有支付宝用户的账号,没有密码
详细说明:
支付宝用户大量泄漏,被用于网络营销 泄漏总量达1500-2500W之多 泄漏时间不明,里面只有支付宝用户的账号,没有密码
漏洞证明:
支付宝账号分为2种,一种是手机号一种是邮箱地址(用手机注册的用户,手机号就是账号,用邮箱注册的,邮箱就是账号)
PS:支付宝邮箱地址验证真伪方法:进入支付宝--转账--我要付款--输入邮箱地址--真实的显示注册的姓名(假的显示未激活) ————(手机号验证方法与邮箱的一样)~~
上次附带一万条供大家检验,wooyun认为不够,这次提供69W条下载~~~
大家测试下~~ 下载地址:(帮原作者隐藏)
完整的都复制到地址栏去(从http到.rar都要) ~~115网盘下载~~
修复方案:
~~我也不知道~~
版权声明:转载请注明来源 梦想肥羊@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:3
确认时间:2011-12-29 17:49
厂商回复:
支付宝用户名主要是email地址,email地址在互联网上很多方式可以收集。利用这些海量的email地址,能够在各个网站,使用公开的功能,如注册等分析是否已使用。支付宝有几亿注册用户,任何一个email是支付宝用户名都是非常可能的。支付宝采取金融级的安全标准去保护用户资金及数据安全,用户名所对应的密码和账户资金是非常安全的,请大家放心。
最新状态:
暂无