今日,乌云漏洞公开了一个关于导致任意淘宝账号信息泄露的漏洞。该漏洞于10月13日由乌云白帽子谢祥应提出,通过这个漏洞可以获取淘宝会员的姓名、手机、邮箱信息。目前,厂商已经确认漏洞并进行恢复。
白帽子谢祥表示,在淘宝购物拍下一件商品后申请代付,写上需要查的淘宝账号。到确认时,查找以“2008”开头的源代码,找到:
<input type="hidden" name="peerPayerCardNo" value="2088412456214924") />
这步也可以在代付记录里审核元素查看,然后在火狐上模拟手机访问网页,跳转到手机版付款界面,选择其他方式支付。
根据下图所示,进行代码替换。
具体操作参见漏洞演示视频,如下:
通过以上视频中演示的这个方法可以查询会员的支付宝电话。如果这些被泄露的电话落到坏人手里就可以实施一系列的诈骗活动。为什么近期那么多人接到说是淘宝客服的电话呢?原因在于很多人已经掌握了这个漏洞,现在市面上很多采集软件能自动采集淘宝网全网没有匿名的用户。在此,小编提醒淘宝用户小心被钓鱼。
值得一提的是,淘宝存在的安全问题已不是第一次被曝光。今年2月份,乌云平台就曾曝出淘宝安全认证机制存在漏洞,黑客可以简单利用该漏洞登录他人淘宝/支付宝账号进行操作——任何人无需密码,只需通过搜索引擎、便可直接获取其他用户的隐私(账户余额、交易记录、收货地址、姓名手机号码等敏感信息)。去年10月,乌云漏洞平台亦发布信息报告称,阿里推出的移动通信软件“来往”出现安全漏洞。漏洞描述中称“来往导致淘宝账号可被破解,波及余额宝支付宝。”而在阿里将淘宝、支付宝、来往等账号打通的背后,但凡有一端出现漏洞,其它账号也将受牵连。