报告详述了破解申通步骤
记者通过梳理乌云网漏洞列表发现,2014年7月19日,一名叫“袋鼠妈妈”的漏洞作者提交的一份名为“国内快递行业某个疑似通用软件配置不当引发大量信息泄露”的报告,在时间点上与任某、鞠某的作案时间点最为吻合。
报告中,作者详列了发现漏洞的步骤,并贴出了按照他所列步骤操作后得到的信息的图片——一份快递单。
报告显示,作者共测试了5家快递公司,其中包括申通。报告的最后,作者写道:综上,个人推断快递行业使用的K8速运管理系统会因配置不当导致泄露,有空看能否对其软件逆向试试,但目前大量快递信息泄露是真实存在的。
根据青浦检察院检察官提供的线索,记者登录“乌云网”查询发现了大量与申通快递公司有关的系统安全漏洞。
经过记者的不完全统计,2013年至今,在申通快递公司被公布的安全漏洞中,与“信息泄露”相关的,有13份报告。其中2013年公布的4份,2014年公布的5份,2015年公布的4份。
这些漏洞报告中,被标注危害等级为“高”的,有9份。
漏洞标题:申通快递某系统存弱口令,可导致信息泄露
危害等级:高
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题:申通快递某处注入内部信息泄露申通
危害等级:高
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题:申通快递公司后台权限绕过大量用户资料泄露
危害等级:高
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞标题:申通快递某处泄露快递单扫描件、客户身份证、电话录音等信息
危害等级:中
漏洞状态:厂商已经确认
漏洞标题:申通快递短信服务泄漏敏感信息
危害等级:中
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题:申通快递E3集群系统和客服管控系统管理信息泄露
小编推荐阅读
