当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011301

漏洞标题:乐蜂网成交快递记录泄漏

相关厂商:乐蜂网

漏洞作者: 梦想肥羊

提交时间:2012-08-24 21:14

修复时间:2012-10-08 21:14

公开时间:2012-10-08 21:14

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-08-24: 细节已通知厂商并且等待厂商处理中
2012-08-25: 厂商已经确认,细节仅向厂商公开
2012-09-04: 细节向核心白帽子及相关领域专家公开
2012-09-14: 细节向普通白帽子公开
2012-09-24: 细节向实习白帽子公开
2012-10-08: 细节向公众公开

简要描述:

乐蜂网交易成单快递记录泄漏
包含字段:姓名+ 收货地址+ 手机号 +(邮箱注册用户显示邮箱,手机注册用户显示手机)+购买的产品名称
数据文件上显示的最后编辑时间为2012年3月7日,判断为这之前。
百度了一下,貌似这个数据不少人在利用,很多人在网上说接到冒充乐峰的诈骗电话

详细说明:

乐蜂网380W条交易成单快递记录泄漏
包含字段:姓名+ 收货地址+ 手机号 +部分带有邮箱号+购买的产品名称
数据文件上显示的最后编辑时间为2012年3月7日,判断为这之前。
如果多次购买,同一购买者的信息会被排列在一起。
如何证明是乐峰的数据? 复制数据里面的手机号或邮箱号去乐蜂网注册,均显示已注册
百度了一下,貌似这个数据不少人在利用,很多人在网上说接到冒充乐峰的诈骗电话

漏洞证明:

修复方案:

你懂的~~

版权声明:转载请注明来源 梦想肥羊@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2012-08-25 09:06

厂商回复:

感谢梦想肥羊提供线索,这些大部分是老数据,去重后数量不多。

最新状态:

暂无