WooYun.org

tcl esb数据管理平台
http://125.93.53.5:8081/admin
弱密码admin/123456,test/test
功能强大的管理平台，从此平台可以看出tcl的电商运转全貌，包括库存、财务、物流、销售。
#1 后台的功能全貌一览

#2 esb系统涉及服务配置
该系统拥有丰富的api接口，用于实现各种数据的查询与处理，其中大类如下：

#3 接口资源：主要是财务，物流，订单
从图中的接口名称可以看出，可以获得的订单包括：淘宝、tcl官网、碰碰团购、1号店、当当、拍拍等。

#4 选择一个接口“获取淘宝订单”右键选择店铺管理功能，可以查到tcl在淘宝的所有店铺，可以看到这些店铺的订单均由此系统管理。同理也可以获得其他平台店铺信息。
淘宝店铺：

1号店：

#5 该平台有两个配置项：esb配置，接口配置。同时也有两个数据监控项目：esb数据监控，接口数据监控，用于从配置项的appkey和接口获取数据。esb数据监控非我们所关心的，一图带过，主要涉及物流信息（物流信息也是非常重要的）。

#6 重点来了，从接口数据监控可以获取各平台的订单信息，其中包括平台帐号（比如淘宝帐号等），下单人姓名，收货地址，联系方式等等。
淘宝网约180万条用户信息泄露：

从系统中保存的销售订单原始数据中可以提取出用户数据，包括用户名（由于淘宝可以用户名登录，配合社工库撞库也是一大隐患）。

除了淘宝还有其他平台的用户信息：