当前位置:安全行业动态 → 正文

民生银行现低级漏洞:卡号泄露致用户隐私“裸奔”

责任编辑:editor006 作者:乌云君 |来源:企业网D1Net  2016-03-03 16:12:39 本文摘自:乌云-漏洞报告平台

当用户发生银行卡盗刷事件时都会去找银行理论,但答复无一例外都是用户的责任。换句话说,银行永远都不会出现安全问题,至少不会出现重大低级失误,或是覆盖所有用户的影响。

但今天不聊盗刷,只聊如今的银行产品与信息保护真的可靠么?当各家银行在互联网飞速拓展业务的同时,是不是开始忽视了什么。本次主角是民生银行信用卡手机客户端,当乌云君看到这个案例的时候脊背发凉,不仅是我正使用这款产品,还有我竟然从来就没怀疑过它,所以当它出现问题时,小小的三观有点崩塌。

民生银行现低级漏洞:卡号泄露致用户隐私“裸奔”

  民生银行信用卡客户端

上图是用户比较熟悉的民生银行信用卡客户端,但万万没想到这个漂亮的界面下竟然存在一个非常低级的安全漏洞(就在咱们眼皮底下),而它几乎可以影响所有民生信用卡用户。

为了证明这个漏洞影响,白帽子找了一些信用卡照片,提取卡号(说明完全随机挑选的)

民生银行现低级漏洞:卡号泄露致用户隐私“裸奔”

  为什么这些图片会被发到网上…

比如 6226000001267*** 和 6226000003372***,谁让你们非得把自己信用卡照片往网上传。接着打开信用卡客户端抓包

民生银行现低级漏洞:卡号泄露致用户隐私“裸奔”

  会有个更新个人信息的请求包

有个POST请求,这个请求提交的数据是自己的信用卡卡号,所以相信你已经get到了,我们就是要把这个卡号换成其他人的。。。

民生银行现低级漏洞:卡号泄露致用户隐私“裸奔”

竟然看到了这张信用卡所有人的姓名、消费金额、消费日期等信息(15年12月3号刷了213.11元),在换一个卡号试试

民生银行现低级漏洞:卡号泄露致用户隐私“裸奔”

同样查到了这张卡的所有人与最后消费金额、时间等信息(15年12月1号刷了152.18元)。提升点难度,白帽子又在网上找到了一个民生银行被盗刷用户发出的截图,虽然敏感内容做了掩盖处理

民生银行现低级漏洞:卡号泄露致用户隐私“裸奔”

  一张用户信用卡被盗刷的登记表

放大信用卡,黑色好高端的样子

民生银行现低级漏洞:卡号泄露致用户隐私“裸奔”

  得到卡号

用APP内部的接口查询一下,名字和消费信息肯定也返回了,跟登记表中的姓确实是一的,15年12月4号消费了5.02元。

民生银行现低级漏洞:卡号泄露致用户隐私“裸奔”

接口可任意查询对应信用卡号的姓名与最后一次消费记录(还有一些信息类字段),如果这个漏洞发生在互联网企业产品中我不会觉得惊讶,但偏偏出在了我们新人并依赖的银行产品上。在传统企业进行互联网化后,更多的功能性接口、权限将会对任意一个互联网用户开放,变得愈加不可控。

民生银行对该漏洞非常重视,该漏洞于今年1月份报告后就得到了解决,用户不会受到这个漏洞影响。对于银行来说,互联网化后要积极关注互联网产品经常出现的问题;对于咱用户来说,银行卡号也是非常隐私的信息,不要轻易给予他人或传到互联网上,万一又出新漏洞了呢

关键字:民生银行民生信用卡

本文摘自:乌云-漏洞报告平台

x 民生银行现低级漏洞:卡号泄露致用户隐私“裸奔” 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

民生银行现低级漏洞:卡号泄露致用户隐私“裸奔”

责任编辑:editor006 作者:乌云君 |来源:企业网D1Net  2016-03-03 16:12:39 本文摘自:乌云-漏洞报告平台

当用户发生银行卡盗刷事件时都会去找银行理论,但答复无一例外都是用户的责任。换句话说,银行永远都不会出现安全问题,至少不会出现重大低级失误,或是覆盖所有用户的影响。

但今天不聊盗刷,只聊如今的银行产品与信息保护真的可靠么?当各家银行在互联网飞速拓展业务的同时,是不是开始忽视了什么。本次主角是民生银行信用卡手机客户端,当乌云君看到这个案例的时候脊背发凉,不仅是我正使用这款产品,还有我竟然从来就没怀疑过它,所以当它出现问题时,小小的三观有点崩塌。

民生银行现低级漏洞:卡号泄露致用户隐私“裸奔”

  民生银行信用卡客户端

上图是用户比较熟悉的民生银行信用卡客户端,但万万没想到这个漂亮的界面下竟然存在一个非常低级的安全漏洞(就在咱们眼皮底下),而它几乎可以影响所有民生信用卡用户。

为了证明这个漏洞影响,白帽子找了一些信用卡照片,提取卡号(说明完全随机挑选的)

民生银行现低级漏洞:卡号泄露致用户隐私“裸奔”

  为什么这些图片会被发到网上…

比如 6226000001267*** 和 6226000003372***,谁让你们非得把自己信用卡照片往网上传。接着打开信用卡客户端抓包

民生银行现低级漏洞:卡号泄露致用户隐私“裸奔”

  会有个更新个人信息的请求包

有个POST请求,这个请求提交的数据是自己的信用卡卡号,所以相信你已经get到了,我们就是要把这个卡号换成其他人的。。。

民生银行现低级漏洞:卡号泄露致用户隐私“裸奔”

竟然看到了这张信用卡所有人的姓名、消费金额、消费日期等信息(15年12月3号刷了213.11元),在换一个卡号试试

民生银行现低级漏洞:卡号泄露致用户隐私“裸奔”

同样查到了这张卡的所有人与最后消费金额、时间等信息(15年12月1号刷了152.18元)。提升点难度,白帽子又在网上找到了一个民生银行被盗刷用户发出的截图,虽然敏感内容做了掩盖处理

民生银行现低级漏洞:卡号泄露致用户隐私“裸奔”

  一张用户信用卡被盗刷的登记表

放大信用卡,黑色好高端的样子

民生银行现低级漏洞:卡号泄露致用户隐私“裸奔”

  得到卡号

用APP内部的接口查询一下,名字和消费信息肯定也返回了,跟登记表中的姓确实是一的,15年12月4号消费了5.02元。

民生银行现低级漏洞:卡号泄露致用户隐私“裸奔”

接口可任意查询对应信用卡号的姓名与最后一次消费记录(还有一些信息类字段),如果这个漏洞发生在互联网企业产品中我不会觉得惊讶,但偏偏出在了我们新人并依赖的银行产品上。在传统企业进行互联网化后,更多的功能性接口、权限将会对任意一个互联网用户开放,变得愈加不可控。

民生银行对该漏洞非常重视,该漏洞于今年1月份报告后就得到了解决,用户不会受到这个漏洞影响。对于银行来说,互联网化后要积极关注互联网产品经常出现的问题;对于咱用户来说,银行卡号也是非常隐私的信息,不要轻易给予他人或传到互联网上,万一又出新漏洞了呢

关键字:民生银行民生信用卡

本文摘自:乌云-漏洞报告平台

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^