据乌云漏洞平台报告,上海移动官网存在一个严重的安全漏洞,可以随意查询所有用户的实名制信息,包括姓名、身份证号、家庭住址等等。
该漏洞早在4月29日就已经被发现,随后得到官方确认,根据乌云平台规定今天可以公开具体细节。
这个漏洞存在于上海移动官网的“换卡不换号”服务中,期间需要验证用户的实名制信息,但登记资料会被直接返回,很轻松就可以完全暴露出来。
目前,该漏洞已经修复,但移动犯下如此低级的错误实在不应该,本来最隐私的信息居然如此轻易地就能泄露出去。不知道其他地方的移动甚至电信、联通网站是不是也有同样的问题呢。
漏洞利用实例1
漏洞利用实例2
