[公开漏洞]北京移动通过手机号直接查询任何机主姓名和账户余额

北京移动通过手机号直接查询任何机主姓名和账户余额 相关厂商： 中国移动北京分公司 漏洞作者：路人甲 提交时间：2014-05-06 18:32 公开时间：2014-06-20 18:32 漏洞类型：敏感信息泄露 危害等级：高 自评Rank：20 漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理 漏洞来源：http://www.wooyun.org Tags标签： 无 漏洞详情 披露状态：

2014-05-06：细节已通知厂商并且等待厂商处理中
2014-05-10：厂商已经确认，细节仅向厂商公开
2014-05-20：细节向核心白帽子及相关领域专家公开
2014-05-30：细节向普通白帽子公开
2014-06-09：细节向实习白帽子公开
2014-06-20：细节向公众公开

简要描述：

可返回机主真实姓名和当前余额,对比了广东和北京分公司的充值接口不一样，不能确定其他公司是否此问题。

详细说明：

在北京移动官网的充值页面提交充值号码后，可返回机主真实姓名和当前余额。对比了广东和北京分公司的充值接口不一样，不能确定其他公司是否此问题。



1、浏览器打开 http://www.bj.10086.cn/service/fee/czjf/ 默认用银行卡充值，输入北京地区的手机号、验证码——开始充值。

2、浏览器自动跳转到选择银行界面，发现有个上传报文返回了机主姓名和余额，如图

3、此时在浏览器直接打开“http://epay.bj.chinamobile.com/paymentAction.do?method=queryBalance2&payPhone=13811543995

”链接就能看到任何手机号的机主姓名。

通过这个方法能查到北京地区的机主信息，其他地区的手机号不可以。

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云 漏洞回应 厂商回应：

危害等级：中

漏洞Rank：7

确认时间：2014-05-10 00:06

厂商回复：

CNVD确认并复现所述情况（不安全参数引用），已经转由CNCERT直接通报给中国移动集团公司处置。

最新状态：

暂无