今日，烏云漏洞公開了一個關于導致任意淘寶賬號信息泄露的漏洞。該漏洞于10月13日由烏云白帽子謝祥應提出，通過這個漏洞可以獲取淘寶會員的姓名、手機、郵箱信息。目前，廠商已經(jīng)確認漏洞并進行恢復。

白帽子謝祥表示，在淘寶購物拍下一件商品后申請代付，寫上需要查的淘寶賬號。到確認時，查找以“2008”開頭的源代碼，找到：

<input type="hidden" name="peerPayerCardNo" value="2088412456214924"） /> 

這步也可以在代付記錄里審核元素查看，然后在火狐上模擬手機訪問網(wǎng)頁，跳轉(zhuǎn)到手機版付款界面，選擇其他方式支付。 

截圖來自烏云

根據(jù)下圖所示，進行代碼替換。

截圖來自烏云

具體操作參見漏洞演示視頻，如下：

通過以上視頻中演示的這個方法可以查詢會員的支付寶電話。如果這些被泄露的電話落到壞人手里就可以實施一系列的詐騙活動。為什么近期那么多人接到說是淘寶客服的電話呢？原因在于很多人已經(jīng)掌握了這個漏洞，現(xiàn)在市面上很多采集軟件能自動采集淘寶網(wǎng)全網(wǎng)沒有匿名的用戶。在此，小編提醒淘寶用戶小心被釣魚。

值得一提的是，淘寶存在的安全問題已不是***次被曝光。今年2月份，烏云平臺就曾曝出淘寶安全認證機制存在漏洞，黑客可以簡單利用該漏洞登錄他人淘寶/支付寶賬號進行操作——任何人無需密碼，只需通過搜索引擎、便可直接獲取其他用戶的隱私(賬戶余額、交易記錄、收貨地址、姓名手機號碼等敏感信息)。去年10月，烏云漏洞平臺亦發(fā)布信息報告稱，阿里推出的移動通信軟件“來往”出現(xiàn)安全漏洞。漏洞描述中稱“來往導致淘寶賬號可被破解，波及余額寶支付寶。”而在阿里將淘寶、支付寶、來往等賬號打通的背后，但凡有一端出現(xiàn)漏洞，其它賬號也將受牽連。

【編輯推薦】