漏洞详情

披露状态:

2014-04-11: 细节已通知厂商并且等待厂商处理中
2014-04-16: 厂商已经确认,细节仅向厂商公开
2014-04-26: 细节向核心白帽子及相关领域专家公开
2014-05-06: 细节向普通白帽子公开
2014-05-16: 细节向实习白帽子公开
2014-05-26: 细节向公众公开

简要描述:

领导、员工、姓名、手机号、所在部门..

详细说明:

http://mail.ha.chinamobile.com/sms/

河南省移动sms短信服务未授权访问

导致该省全省移动人员通讯录泄露了



直接访问就可以

通讯录包含

河南移动
公司机关
洛阳呼叫基地(信息安全运营中心、互联网服务集中运营中心)
中心
河南中移公司
省飞达公司
分公司
终端公司河南分公司



郑州分公司
开封分公司
洛阳分公司
三门峡分公司
商丘分公司
安阳分公司
濮阳分公司
焦作分公司
鹤壁分公司
新乡分公司
许昌分公司
周口分公司
漯河分公司
平顶山分公司
驻马店分公司
南阳分公司
信阳分公司
济源分公司



以及旗下N多部门 领导,市场部,客户部,集团部等等..

q1.jpg



这只是冰下一角,逐级下查,还有还有...还有..

q2.jpg



不止高层领导,低至基层人员的

姓名,手机号,所在部门,也一样一览无余

(点一下通讯录名称,即可看到手机号)

q3.jpg

漏洞证明:

见详细说明

修复方案:

版权声明:转载请注明来源 @乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-04-16 15:38

厂商回复:

CNVD确认所述情况(未实时复现),已经转由CNCERT直接向中国移动集团公司通报,由其后续派发工单给省公司处置。按信息泄露风险进行评分,rank 10

最新状态:

暂无


漏洞评价: