发现腾讯云安全缺失,重大安全逻辑漏洞啊

2019-08-11 02:32:58 +08:00
 hongmao21

哎,小博客挂在腾讯云,最近发现腾讯云有安全逻辑风险。让我今夜无眠呀。夜未眠,欲哭无泪,又不知所措,无能为力。

腾讯云安全逻辑:
1.只能用邮箱或绑定的微信,QQ 登陆。
2.邮箱账号无法修改。
3.没有紧急冻结,限制访问等功能。
4.找回密码并不通过安全邮箱。
5.安全邮箱和手机号绑定完全是形同虚设。

起因:

以前注册的邮箱在去年的时候不用了,尝试更换未果,就更新了安全邮箱。上周服务器被挂马,折腾了一圈,今晚想登录腾讯云官网控制台突然提示密码错误。
使用绑定手机重置密码后发现重置密码链接发到了原登陆邮箱,而不是安全邮箱!!!

紧急联系电话客服,一番尝试得出以上结论,只能提交工单这种方式尝试:(提交工单内容,电话客服小伙子态度很好,却无能为力)

[腾讯科技] xxx: 1 )解绑原因:
2 )需要解绑的账号 ID:
3 )身份验证资料收集:1、已实名 a:个人认证:申请人手持身份证正+反面照片(申请人须与实名认证信息一致) 受理时间早上 9:00,在此期间不能冻结账号和限制登陆防护。

我觉得这完全是匪夷所思的安全逻辑,邮箱作为登陆用户名为啥不可以修改?那么安全邮箱起什么作用?绑定了手机号又起什么作用?

我只能祈祷今晚那个邮箱主人不要……

2731 次点击
所在节点    全球工单系统
6 条回复
oovveeaarr
2019-08-11 03:02:33 +08:00
dnspod 同理。。
1981
2019-08-11 03:24:40 +08:00
不不不是我们多虑了,这个问题我提交过工单,给的回复业务逻辑没问题
hongmao21
2019-08-11 09:36:29 +08:00
身份验证信息是提交在投诉建议的公共工单里面的…
早上电话回访被移动拦截了,我刚刚又打回去建议我再次提交投诉建议的工单…吐血
hongmao21
2019-08-11 13:34:09 +08:00
二更:

最新进展,相关客服联系了我好几次,就是非要我补充手持身份证照片正反面的照片(必须要正面和反面身份证照片,问题是我管局备案都没提交过反面身份证信息,证明自己太难了)…


退而求其次,我要求先冻结登陆功能,然后刚才工单客服电话询问了几乎所有能询问的敏感信息了(注册时间,手机号,备案信息,安全邮箱,服务器区域,域名),然后确认通过,先暂停登陆了,后续再说吧。


我就有个疑问了,折腾十几个小时了,难道上面这些信息还不能确认本人操作?非要手持身份证正+反面照片,我还提议采用当时实名认证的微信关联授权验证啥的也不同意。


总之,这是真安全的系统,你们辛苦了,大家周末愉快……
SSyang
2019-08-11 15:55:28 +08:00
估计他们也是踩坑踩多了,互联网环境下大家都没有隐私,各种信息不知道被卖了多少手,我之前在 X 云上的账号就被盗过,实名认证都被修改了,他们这里起码能保住账号不会被人恶意霸占了。
hongmao21
2019-08-21 20:36:33 +08:00
…………………………刚刚结单,问题已解决…………………………
谢谢大家和跟进的客服。在使用收集、使用用户个人信息,应当遵循合法、正当、必要的原则。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/590851

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX