淘宝帐号可能会被恶意注销

漏洞概要

缺陷编号:WooYun-2012-05867

漏洞标题:淘宝帐号可能会被恶意注销

相关厂商:淘宝网

漏洞作者:mario

提交时间:2012-04-08 17:31

公开时间:2012-04-13 17:32

漏洞类型:账户体系控制不严

危害等级:低

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2012-04-08: 细节已通知厂商并且等待厂商处理中
2012-04-08: 厂商已查看当前漏洞内容,细节仅向厂商公开
2012-04-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

淘宝帐号因客服审核控制不严可能会导致被别人恶意注销

详细说明:

因本人淘宝帐号很久没有使用然后自动被淘宝暂停使用了,提示要输入手机号码收激活码激活,搞笑的是输入自己的手机号码后提示我这个手机号已经被占用,也就是说这个手机号注册过淘宝帐号.但是我这个手机号是刚办的没有多久,而我的淘宝帐号是几年前就注册了的,我确定我也没有用这个新手机号注册过淘宝帐号甚至任何其他网站的帐号.于是我就想既然这样不行就打淘宝客服咨询下有没有其他方法激活我的帐号,进入淘宝首页->服务中心->联系客服->电话客服,打0571-8815 8198,接通客服后我说明了我的这个情况,现在用的手机号莫名其妙被占用该怎么激活帐号,客服MM问我的淘宝帐号是多少,我回答AAA,然后客服MM说你现在用的手机号已经绑定了其他的帐号,我就纳闷了,我这是新办的手机号,根本不可能啊.我问那我手机号现在绑定的帐号是什么,客服MM说这个不方便透漏.好吧,我回答说那帮我把我的淘宝帐号AAA激活吧,客服MM回答说好的要激活AAA必须要把你手机号现在已经绑定的那个帐号注销掉(漏洞在这里出现了)...最后客服MM在没有对我的淘宝帐号或者手机号拥有权作任何审核的情况下把我手机号之前绑定的那个不知道是谁的帐号注销了,我的淘宝帐号AAA激活并绑定了我的手机号.分析了下这个漏洞的利用条件:必须要有一个被淘宝暂停使用的帐号(长时间不使用或者屡次输错密码来构造吧),然后拿到你想注销帐号所绑定手机号的人的手机(丢了手机或者手机被偷的人要注意了,还有就是换号后一定要去淘宝里把绑定的手机号及时更换过来).

漏洞证明:

抱歉,当时电话没有录音,所以真不知道怎么证明.

修复方案:

加强客服人员对帐号或者手机号拥有者的审核.

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-04-13 17:32

厂商回复:

最新状态:

暂无

评价

  1. 2010-01-01 00:00 店小弎 白帽子 | Rank:93 漏洞数:13)

    怎么样注销呢 科普下 我正好想注销呢 哈哈

  2. 2010-01-01 00:00 疯子 白帽子 | Rank:254 漏洞数:39)

    @店小弎 太淫荡了 哈哈 是否可以注销支付宝呢?

  3. 2010-01-01 00:00 horseluke 白帽子 | Rank:108 漏洞数:18)

    又一例从客服入手的事例?

  4. 2010-01-01 00:00 mario 白帽子 | Rank:0 漏洞数:1)

    @horseluke 是啊,无意中发现的

  5. 2010-01-01 00:00 水滴 白帽子 | Rank:146 漏洞数:24)

    给力

  6. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    @horseluke 客户应该归IT管~

  7. 2010-01-01 00:00 horseluke 白帽子 | Rank:108 漏洞数:18)

    @一刀终情 客服貌似一直都是归市场或者运营管吧,而且啥都要归IT管,那就烦死了——比如说深受APT之苦的高管小秘(http://weibo.com/2005703423/ybgAjE2n8 ),难不成也得归IT?也许终极解决之道是培训和制度了

  8. 2010-01-01 00:00 http://www.wooyun.org/corps/淘宝网 白帽子 | Rank:0 漏洞数:0)

    @mario 能否提供一下联系方式?帮助我们确定问题,麻烦将联系方式邮件至taobao-security-notify@list.alibaba-inc.com, 我们会有人和你联系,谢谢.

  9. 2010-01-01 00:00 mario 白帽子 | Rank:0 漏洞数:1)

    @淘宝网 已发

  10. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    @horseluke 哈哈,有人提供女秘书加固服务~~

  11. 2010-01-01 00:00 Mujj 白帽子 | Rank:38 漏洞数:4)

    手机帐号是作为附属帐号的,不影响主帐号使用

  12. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    这个注销不是注销账号吧?是取消绑定吧?

  13. 2010-01-01 00:00 mario 白帽子 | Rank:0 漏洞数:1)

    @一刀终情 不是取消绑定是注销帐号的

  14. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    @mario 额,不过淘宝的逻辑没问题的,你有手机绑定,当然可以作为凭证了,关键问题是用那个号码的人,号码不用的时候,没有作废所有绑定

  15. 2010-01-01 00:00 Pentos 白帽子 | Rank:24 漏洞数:8)

    @一刀终情 @mario 其实这问题根本没必要打客服,直接拿手机找回那个绑定的号码然后解绑掉,再绑定自己的ID就可以了(当然这有盗号的嫌疑了囧)~~淘宝注销账号肯定不可能,不信可以试试原来绑定的那个账号随便输入密码,看提示是是密码错误?还是不存在?还是严重违规?

  16. 2010-01-01 00:00 Pentos 白帽子 | Rank:24 漏洞数:8)

    看来淘宝问了联系方式,得要找那个客服MM的麻烦了,悲剧啊,这妹子会不会得失业~

  17. 2010-01-01 00:00 mario 白帽子 | Rank:0 漏洞数:1)

    @Pentos 哈哈