V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mogutouer
V2EX  ›  京东

京东账号系统存在巨大安全隐患

  •  
  •   mogutouer · 2019-03-25 00:15:46 +08:00 · 4628 次点击
    这是一个创建于 2078 天前的主题,其中的信息可能已经有所发展或是发生改变。
    只要你知道一个人的手机号码和他的名字以及邮箱,即可通过京东金融把他的绑定手机号改成自己的,然后通过找回密码重置他的密码,接着就可以用改了的手机号和密码登陆进去,名字电话和邮箱相信只要认识的都很容易能得到。

    虽然不会造成什么金钱上的损失,但订单记录,收件地址等就暴露了。
    9 条回复    2019-03-25 14:56:05 +08:00
    gazce
        1
    gazce  
       2019-03-25 00:25:51 +08:00 via iPhone
    找回密码不要邮箱接受验证码?
    WordTian
        2
    WordTian  
       2019-03-25 00:57:36 +08:00 via Android
    这种问题一般来说,最好还是提交到各大厂商的安全平台(src)
    一是这种安全性问题的保密性要求,防止被恶意利用
    二是京东那边确认之后,会根据问题级别,有些相应的奖励
    yzkcy
        3
    yzkcy  
       2019-03-25 01:29:41 +08:00 via Android
    你确定在陌生网络环境陌生设备上也可以复现?
    Tink
        4
    Tink  
       2019-03-25 03:06:48 +08:00 via iPhone
    确定吗?如何复现
    crab
        5
    crab  
       2019-03-25 03:23:18 +08:00
    不会是通过社工客服吧。
    mogutouer
        6
    mogutouer  
    OP
       2019-03-25 10:20:07 +08:00
    打电话给客服说旧手机号用不了了,需要更改绑定手机,然后他会问你旧手机号是多少,你告诉他,然后他会再问你绑定邮箱是什么,之后会跟你要新手机号,接着你收到一条验证码然后告诉他,搞定。
    注意是京东金融客服,不是京东客服,当然他俩帐号是通用的。
    mogutouer
        7
    mogutouer  
    OP
       2019-03-25 10:20:52 +08:00
    @yzkcy #3 打电话没有什么陌不陌生的
    @gazce #1 电话
    yzkcy
        8
    yzkcy  
       2019-03-25 10:41:42 +08:00 via Android
    @mogutouer 如果能稳定复现,提交到 jsrc 应该有几千块钱奖励,楼主可以试一下。
    flynaj
        9
    flynaj  
       2019-03-25 14:56:05 +08:00 via Android
    @mogutouer 按照你的说法是人为因素,不过也是隐患
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   908 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 21:35 · PVG 05:35 · LAX 13:35 · JFK 16:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.