今天,五云漏洞披露了一个导致任意淘宝账号信息泄露的漏洞。该漏洞由黑云白帽谢湘英于10月13日提出,通过该漏洞可以获取淘宝会员的姓名、手机、邮箱等信息。目前厂商已经确认漏洞并修复。白帽子谢翔说,他在淘宝上买了一件商品后,申请付款,记下了需要查的淘宝账号。确认后,搜索“2008”开头的源码,找到:这一步也可以在payment中的audit元素中查看记录,然后在Firefox模拟手机访问网页,跳转到手机版支付界面,选择其他支付方式。截图来自乌云,替换下图代码。截图来自乌云。具体操作请参考漏洞演示视频,如下:通过上述视频演示的方法,可以查询会员的支付宝电话号码。如果这些泄露的手机落入坏人之手,他们就可以进行一系列的诈骗活动。为什么最近有这么多人接到淘宝客服的电话?原因是很多人已经掌握了这个漏洞,现在市面上很多采集软件都可以自动采集整个淘宝全网的匿名用户。在此,小编提醒淘宝用户小心上当受骗。值得一提的是,这并不是淘宝安全问题第一次被曝光。今年2月,五云平台曝出淘宝安全认证机制存在漏洞。黑客可以简单地利用该漏洞登录他人的淘宝/支付宝账户进行操作——任何人都可以通过搜索引擎直接获取其他用户,无需密码。隐私(账户余额、交易记录、送货地址、姓名和手机号码等敏感信息)。去年10月,五云漏洞平台也曾发布信息报告称,阿里移动通信软件“来莲”存在安全漏洞。漏洞描述称“淘宝账号因兑换可被破解,影响余额宝和支付宝”。阿里开通淘宝、支付宝、交易所等账户的背后,如果一端出现漏洞,其他账户也会受到牵连。【小编推荐】吴云:淘宝的Minebdb系统没有做权限认证。淘宝和支付宝认证存在漏洞。黑客可以登录任意账户进行操作。信息泄露背后隐藏着一条灰色产业链。
