乌云上 10 月 24 日曝出的联动优势漏洞影响可以有多严重?银行账户还安全吗? 举报 理由 举报 取消 联动优势是中国银联和中国移动的合资公司。详情:只需一个手机号即可查到你的银行存款(包括余额、工资、资金明细、转账验证码等) 2017年11月23日 6 条回复 1350 次浏览 WooYun,中国移动,中国银联,乌云,网络安全
回复 ( 6 )
只要用户的银行卡号、身份证号没被泄露,用户的银行资金账号还是非常安全的。
根据CNCERT给出的公开说明说一点内容,联动优势是中国移动、中国银联的合资公司,这个公司有一个“银行信息通知系统”,银行给用户通知信息都经过这里再推送出去,这个公司的这个系统把所有的通知信息都实时保存到数据库了,乌云上报告的漏洞就是怎么查到这些通知信息。
根据厂商的回复,应该是银行调用了“联动优势”的短信网关向客户发送提醒短信,这些短信会包含交易信息和交易验证码,而短信网关的日志系统存在安全缺陷,使得攻击者可以读取这些短信记录。
联动优势是中国银联和中国移动的合资公司,主营业务方向是移动支付。
在厂商修复前,用户可以先行暂停短信通知功能,待漏洞修复后再开启。
//以下为原文还没看到详细情况(按照乌云的规则,目前只有厂商可以查看部分漏洞信息)
不过按照描述来看应该是一个越权查看用户信息的漏洞,估计是绕过了访问控制系统,直接读取了交易类信息和个人资料。
总的来说,这是一个泄密漏洞,估计不会造成直接经济损失。
唔,倒是藏私房钱的人,要小心了。
如果很在意自己的私人信息泄漏,可以尝试去和银行协商把与手机的绑定解除/更换,以某个隐蔽的私人号码而不是公开的手机号来关联账户。
题主是在利益相关,要故意张冠李戴给中国银联吗?
乌云原文写那么清楚,第三方漏洞,相关厂商也是联动优势。可是题主还是说到中国银联头上。
我就是很好奇,猪猪侠用王思聪的手机号测试的结果是什么???
没点进去看我就知道肯定是猪猪侠的漏洞!微博的@呆子不说话 爆料的!
看描述应该是对已经发了的短信的查看,不是实时账务。
看不到详细情况,只能大概猜测下,不知道却非要强行答什么的。。。
能看到下行短信,分为两种情况,能看到历史短信或者当天的也能看到。
只能看到历史短信的话,直接危害不大,毕竟当天可能还做交易,验证码也已经过期。但是被人了解到余额有可能会有针对性诈骗之类,毕竟是可以拿到手机号和卡片尾号后四位的数据,能报出卡余额来会让人比较相信。如果和历史积累下来的数据例如各类社工库匹配下危害可能更大。
能看到当天的短信,除了诈骗之类外,能实时看到验证码。应该不会被强制开通快捷支付然后转走钱,因为银联和银行系快捷支付开通的时候都要验证卡密码,这个和普通第三方支付不一样。但是已经开了的不好说,不知道是不是从这个渠道下行短信的。