English
 
查看详细details
您当前所在位置:首页 奥航智讯 行业最新动态 查看详细
行业最新动态 会员企业动态 GDPR
联动优势被爆出漏洞: 一个手机号即可查到账户资金变动信息
文章来源:中国支付网  作者:SCA  发布时间:2015-10-27  浏览次数:1519

     10月24日,乌云白帽子猪猪侠曝光一个足够吸引眼球的漏洞,根据描述称,第三方持牌公司联动优势存在漏洞,只需一个手机号即可查到你的账户资金变动信息(包括余额、工资、资金明细、转账验证码等)。

  其实早在2015年7月22日乌云平台就曾爆出“联动优势某客户端存在多处严重设计缺陷,可登陆任意用户且查看其信用卡信息”的漏洞。如今,三个月之后,联动优势再次爆出存在漏洞。

  目前该漏洞已得到厂商确认,但根据乌云平台规则,漏洞细节也仅向厂商公开(这也是保护漏洞不被恶意使用)。

  对此漏洞,CNVD(国家信息安全漏洞共享平台)的回应是:

  CNVD确认所述第一层技术风险点。对于威胁情况,CNVD评估认为属联动优势某业务系统存储的银行卡交易提醒短信日志存在风险,并不涉及实时在线查询接口,不构成对相关用户银行卡业务的在线查询权限,因经风险可定性为历史交易数据存在风险。

  已经转由CNCERT向网站管理方联动优势公司直接通报(首先通过其公开联系渠道),同时同步向网站管理单位关联资方——中国移动集团公司通报。

  根据CNCERT给出的公开说明,联动优势是中国移动、中国银联的合资公司,这个公司有一个“银行信息通知系统”,银行给用户通知信息都经过这里再推送出去,这个公司的这个系统把所有的通知信息都实时记录下来了。

  所以,根据CNVD的评估,此漏洞主要涉及银行卡交易短信日志风险。

  业内人士评论称,看描述应该是对已经发了的短信的查看,不是实时账务。看不到详细情况,只能大概猜测下:

  能看到下行短信,分为两种情况,能看到历史短信或者当天的也能看到。只能看到历史短信的话,直接危害不大,毕竟当天可能还做交易,验证码也已经过期。但是被人了解到余额有可能会有针对性诈骗之类,毕竟是可以拿到手机号和卡片尾号后四位的数据,能报出卡余额来会让人比较相信。如果和历史积累下来的数据例如各类社工库匹配下危害可能更大。

  能看到当天的短信,除了诈骗之类外,能实时看到验证码。应该不会被强制开通快捷支付然后转走钱,因为银联和银行系快捷支付开通的时候都要验证卡密码,这个和普通第三方支付不一样。但是已经开了的不好说,不知道是不是从这个渠道下行短信的。

  此前,乌云平台曾在今年3月24日和7月9日公布了易宝支付合作商家订单信息被泄露以及随行付POS机泄露用户刷卡与账户余额信息的漏洞。而第三方支付系统漏洞频出,在给用户资料带来了较大隐患的同时,也让安全问题再度成为热议的话题。

  目前联动优势的漏洞问题已交由cncert国家互联网应急中心处理,漏洞的后续问题也亟待解决。

  (以上部分内容来自ZD至顶网)


免责声明:本文仅代表作者个人观点,与奥航智能信息科技有限公司网站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。

 
奥航智讯官方微信
联系我们 | CONTACT US
  • 公司地址:上海市浦东新区 周康路26号 周浦万达E栋1016室
  • 联系电话:021-51099961
  • 企业邮箱:contact@smart-alliance.com
  • W  E  B  :  www.smart-alliance.com
在线留言 | FEEDBACK
Copyright 2012-2024 SC Alliance, All Rights Reserved        沪ICP备14020833号-1        上海奥航智能科技有限公司