V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
yemenchun1
V2EX  ›  问与答

某手机厂商网站账号注册貌似有漏洞

  •  
  •   yemenchun1 · 2016-08-11 15:43:27 +08:00 · 1316 次点击
    这是一个创建于 3022 天前的主题,其中的信息可能已经有所发展或是发生改变。

    上月在电信校园营业厅新买的备用手机号(181 开头)突然收到 10690 开头发送的短信, 某四字母手机厂商"感谢我注册他们的网站, 用户名为手机号, 密码为手机号后六位".

    我感觉情况不对, 去官网用我号码附近的手机号尝试登录, 1 个显示密码错误, 2 个显示无此手机号. 用我的号码登录, 真的登上去了, 用户名是字母 U 加一串数字.

    感觉是手机号被利用了, 猜测网站的漏洞是: 不需要手机收到验证码, 就可以用此手机号注册, 或: 门店有此种注册权限.

    因为注册的人肯定知道此帐号手机号的密码就是手机号后六位, 我本着信息安全的态度, 改了登录密码, 又改了绑定手机号, 和用户名.

    五分钟后, 同一 10690 又发短信, 感谢我购买他们的产品, 打分 1-5, 5 为最满意.

    朋友分析是骗子搞到了后台权限, 让我等着接骗子电话逗骗子玩:)

    6 条回复    2016-08-11 16:03:00 +08:00
    imn1
        1
    imn1  
       2016-08-11 15:49:07 +08:00
    手机云账户自动开通?
    yemenchun1
        2
    yemenchun1  
    OP
       2016-08-11 15:55:36 +08:00
    @imn1 应该不是, 我没有任何该厂商的产品
    uyhyygyug1234
        3
    uyhyygyug1234  
       2016-08-11 15:56:31 +08:00 via Android
    乌云倒了之后。。。
    imn1
        4
    imn1  
       2016-08-11 15:57:57 +08:00
    @yemenchun1
    哦,我理解错了,以为你的新手机就是那个厂商的
    yemenchun1
        5
    yemenchun1  
    OP
       2016-08-11 16:02:20 +08:00
    @uyhyygyug1234 啥? 这个不是充要条件~
    yemenchun1
        6
    yemenchun1  
    OP
       2016-08-11 16:03:00 +08:00
    @imn1 还用的老 5s
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2926 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 14:54 · PVG 22:54 · LAX 06:54 · JFK 09:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.