漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0149392
漏洞标题:邮乐合作方我来贷敏感信息泄露(至少十多万客户信息)
相关厂商:上海邮乐网络技术有限公司
漏洞作者: 天地不仁 以万物为刍狗
提交时间:2015-10-26 10:55
修复时间:2015-12-10 13:28
公开时间:2015-12-10 13:28
漏洞类型:重要敏感信息泄露
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-10-26: 细节已通知厂商并且等待厂商处理中
2015-10-26: 厂商已经确认,细节仅向厂商公开
2015-11-05: 细节向核心白帽子及相关领域专家公开
2015-11-15: 细节向普通白帽子公开
2015-11-25: 细节向实习白帽子公开
2015-12-10: 细节向公众公开
简要描述:
用户姓名,手机号码,性别,年龄,客户类别,注册渠道,Product_Code,学校名称,学校类别,公司名称,是否代理所在学校,学校所在区域,注册日期,终端编号,登录平台,学校所在省,学校所在市,学历,贷款号,是否首次贷款,申请年,申请月,申请日,申请时间,申请金额,申请期限,系统审批,人工审批,审批状态,审批原因,产品名称,审批金额,还款期数,审批通过日期,审批通过时间,提现日期,绑定借记卡,所属银行,月还款额,推荐人姓名,推荐人手机号,推荐人所在学校,推荐人是否代理,所在公司,,
详细说明:
一开始是下载 邮乐的 邮乐金融来测试的 结果···竟然就是 我来贷 的
下面就是正题了
https://github.com/liuchaox/welab_bi/blob/95e027b34b0b2845c0db3e1bd767d99d1a9631a6/etl/src/kettle/kettle.properties
看见邮箱 直接登录了进去 duang 的一下 就进去了
先来看下企业通讯录(一堆一堆的 没脱了)
然后我们在来看看 邮件(1380封)
接连看了些邮件 几乎全是申报的 这里就不截图了 但是···
看见这玩意就有趣多了
这是5m多的 信息不是很多 之前下了个13m的 我们来看看
这里面的信息就比较多,全了 而这只是其中的一两个邮件内容····
漏洞证明:
还有一位神队友也泄露了····
https://github.com/liuchaox/welab_bi/blob/95e027b34b0b2845c0db3e1bd767d99d1a9631a6/tools/pentaho-email-transfer/src/pentaho-email-transfer/pentaho_email_transfer.py
修复方案:
版权声明:转载请注明来源 天地不仁 以万物为刍狗@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2015-10-26 13:26
厂商回复:
非常感谢,正在和我来贷这边技术进行确认
最新状态:
2015-11-11:此bug为我来贷 内部系统业务缺陷,请移交至我来贷进行修复