漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-041467
漏洞标题:VMware中国 代理商及各行业最终用户敏感资料泄露
相关厂商:VMware中国
漏洞作者: 风
提交时间:2013-10-30 15:23
修复时间:2013-12-14 15:23
公开时间:2013-12-14 15:23
漏洞类型:用户资料大量泄漏
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-10-30: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-12-14: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
VMware做为虚拟化领域的领跑者,用户遍布各个行业,代理商也到处都是,这下好了,代理商和各行各业的最终用户敏感信息被泄露的都差不多了。包括姓名、邮箱、联系电话、公司名称等。我们放心把资料交给你们,你们就这样直接扔在互联网上,就不能保障下信息资料的安全?
详细说明:
http://vforum2013.cloud-expo.com.cn/
VMware中国vForum2013网络大会近2W注册用户敏感信息极易被泄露,可以拿到所有参会人员的敏感信息,参会人员有代理商有各行业的最终用户,信息质量很高,如果被猎头、竞争对手和有其它意图的人拿到危害很大。
所有注册用户都是一个默认密码VMware,用户名为注册邮箱,公开放在互联网上,完全没有保护敏感信息的意思,连一点安全防护措施都不做,利用这些,可以轻易拿到所有参会人员的敏感信息,这些都是真实注册的,有VMware代理商,有各行业的最终用户,信息价值很高。
我们的信息就这样被泄漏了,谴责。
漏洞证明:
通过VMware中国官方微博宣传的vForum2013网络大会链接地址进入网络大会页面。
打开后点“虚拟大会直播与互动体验”可直接看到大会的参会链接地址,用户名为注册邮箱,密码默认VMware
好吧都说这么明白了,打开大会链接,只要注册过参会的邮箱就可以当用户名,找一个(我第一次登用的是自己的邮箱,开会前天天发邮件让注册,我注册了却得不到保护),密码所有默认VMware,直接就进到会场里面了。
进去后点最下面的用户搜索,打开搜索界面,查询条件不填,直接点搜索按钮,所有注册参会的人员信息就列在下面了,但是只能看到姓名、公司名和头衔,看不到更多。
接下来把列表里感兴趣的人点最后的收藏按钮都收藏了。
然后打开我的收藏夹,联系信息,可以看到已收藏的人员信息,电子名片是个邮箱地址,这个邮箱就是注册参会的邮箱,也就是登录大会的用户名,而且这个页面还可以把收藏的人一键发送到邮箱。。。。。。
到这里,这个网络大会参会人的用户名和密码(默认VMware几乎没人改过)都拿到了。
新打开个参会页面登录一下。
登录后打开帐户管理,资料,用户信息就在这里了。
这么多代理商和各行业最终用户的资料就这样直接被放在了互联网上。。。。。。
修复方案:
是故意的还是故意的,一点都不注重敏感信息的保护,这些可是真实的代理商和各行业最终用户,谴责!
版权声明:转载请注明来源 风@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝