当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-016947

漏洞标题:淘宝低价套取用户信息欺诈行为曝光

相关厂商:淘宝网

漏洞作者: Black Angel

提交时间:2013-01-05 13:43

修复时间:2013-02-19 13:43

公开时间:2013-02-19 13:43

漏洞类型:钓鱼欺诈信息

危害等级:低

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-05: 细节已通知厂商并且等待厂商处理中
2013-01-05: 厂商已经确认,细节仅向厂商公开
2013-01-15: 细节向核心白帽子及相关领域专家公开
2013-01-25: 细节向普通白帽子公开
2013-02-04: 细节向实习白帽子公开
2013-02-19: 细节向公众公开

简要描述:

2012年底有曝光过此类问题,“1元包邮”等吸引用户下单,但是店铺会已缺货等信息拒绝出货,然后将获取到的用户姓名,手机,邮箱以及地址等信息高价出售。
这次在淘宝上看了一个现成案例,网购要多多小心,不要贪图便宜!

详细说明:

无意间逛淘B宝,说给女友买一双鞋子。然后发现。。。没图我说个JB。下面上图、
http://item.taobao.com/item.htm?spm=a1z0k.1000778.1000385.6.cUYUGK&scm=1007.61.0.0&id=16932942268&pvid=879bec5e-a7c3-4914-94c6-928b229ca3bf&ad_id=&am_id=&cm_id=&pm_id=

[淘宝“1元包邮”促销商品或致个人信息走漏(图)]
    【微博爆料:淘宝卖家1元促销套取客户个人信息】网友厦门街坊邻居:近来淘宝上呈现许多一元多包邮的服饰,一天能卖上万件。不要认为商家不发货你能够请求 退款,这是套取客户材料的新手法,付款后,你的手机号、地址、邮箱等个人信息,还有一切消耗记载都会被卖家套取再转卖,这样实在完好的材料一个卖价就不止 一元了。
    【业内人士:拍下“1元包邮”后个人信息或被倒卖】记者查找到一位名为“小乖喝绿茶”的网友宣布了这样一篇文章,该网友揭秘,这些商家以包邮白菜价取得海 量的订单,用户支付宝付款后,卖家能够取得海量(几千条乃至几万条)精确有用的用户收货地址,尽管后边买卖撤销、金钱退回,但这批用户名、地址、电话就被 不良商家得到了。还有一些人指出,这样有价值的信息一个能够卖到10元以上。
对准上述情况,记者昨日联络了淘宝公司的有关负责人,她表明,若是经淘宝网调查核实,卖家以贱价骗得流量,而消耗者与卖家联络时,卖家又清晰表明此商品无 货,涉嫌欺诈,公司将会对触及的卖家店肆进行封闭。一起,淘宝网将告诉关联订单的消耗者请求退款,防止受骗上当。

漏洞证明:

1.jpg


淘宝2.jpg


淘宝3.jpg


4.png

修复方案:

别修复了好不好。?

版权声明:转载请注明来源 Black Angel@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2013-01-05 14:00

厂商回复:

感谢您的反馈,近日我们接到会员反映,有部分卖家发布超低价商品,最终却以各种理由不予发货。淘宝网经调查核实,这类卖家以低价骗取流量,而消费者与卖家联系时,卖家又明确表示此商品无货,涉嫌欺诈,因此对卖家店铺进行关闭。同时,淘宝网将通知相关订单的消费者申请退款,避免受骗上当

最新状态:

暂无