今日，烏云漏洞公開了一個(gè)關(guān)于導(dǎo)致任意淘寶賬號(hào)信息泄露的漏洞。該漏洞于10月13日由烏云白帽子謝祥應(yīng)提出，通過這個(gè)漏洞可以獲取淘寶會(huì)員的姓名、手機(jī)、郵箱信息。目前，廠商已經(jīng)確認(rèn)漏洞并進(jìn)行恢復(fù)。

白帽子謝祥表示，在淘寶購(gòu)物拍下一件商品后申請(qǐng)代付，寫上需要查的淘寶賬號(hào)。到確認(rèn)時(shí)，查找以“2008”開頭的源代碼，找到：

<input type="hidden" name="peerPayerCardNo" value="2088412456214924"） /> 

這步也可以在代付記錄里審核元素查看，然后在火狐上模擬手機(jī)訪問網(wǎng)頁(yè)，跳轉(zhuǎn)到手機(jī)版付款界面，選擇其他方式支付。 

截圖來自烏云

根據(jù)下圖所示，進(jìn)行代碼替換。

截圖來自烏云

具體操作參見漏洞演示視頻，如下：

通過以上視頻中演示的這個(gè)方法可以查詢會(huì)員的支付寶電話。如果這些被泄露的電話落到壞人手里就可以實(shí)施一系列的詐騙活動(dòng)。為什么近期那么多人接到說是淘寶客服的電話呢？原因在于很多人已經(jīng)掌握了這個(gè)漏洞，現(xiàn)在市面上很多采集軟件能自動(dòng)采集淘寶網(wǎng)全網(wǎng)沒有匿名的用戶。在此，小編提醒淘寶用戶小心被釣魚。

值得一提的是，淘寶存在的安全問題已不是***次被曝光。今年2月份，烏云平臺(tái)就曾曝出淘寶安全認(rèn)證機(jī)制存在漏洞，黑客可以簡(jiǎn)單利用該漏洞登錄他人淘寶/支付寶賬號(hào)進(jìn)行操作——任何人無需密碼，只需通過搜索引擎、便可直接獲取其他用戶的隱私(賬戶余額、交易記錄、收貨地址、姓名手機(jī)號(hào)碼等敏感信息)。去年10月，烏云漏洞平臺(tái)亦發(fā)布信息報(bào)告稱，阿里推出的移動(dòng)通信軟件“來往”出現(xiàn)安全漏洞。漏洞描述中稱“來往導(dǎo)致淘寶賬號(hào)可被破解，波及余額寶支付寶。”而在阿里將淘寶、支付寶、來往等賬號(hào)打通的背后，但凡有一端出現(xiàn)漏洞，其它賬號(hào)也將受牽連。

【編輯推薦】