京东账号系统存在巨大安全隐患

2019-03-25 00:15:46 +08:00

mogutouer

只要你知道一个人的手机号码和他的名字以及邮箱，即可通过京东金融把他的绑定手机号改成自己的，然后通过找回密码重置他的密码，接着就可以用改了的手机号和密码登陆进去，名字电话和邮箱相信只要认识的都很容易能得到。

虽然不会造成什么金钱上的损失，但订单记录，收件地址等就暴露了。

4529 次点击

所在节点

9 条回复

gazce

2019-03-25 00:25:51 +08:00

找回密码不要邮箱接受验证码？

WordTian

2019-03-25 00:57:36 +08:00

这种问题一般来说，最好还是提交到各大厂商的安全平台(src)
一是这种安全性问题的保密性要求，防止被恶意利用
二是京东那边确认之后，会根据问题级别，有些相应的奖励

yzkcy

2019-03-25 01:29:41 +08:00

你确定在陌生网络环境陌生设备上也可以复现？

Tink

2019-03-25 03:06:48 +08:00

确定吗？如何复现

crab

2019-03-25 03:23:18 +08:00

不会是通过社工客服吧。

mogutouer

2019-03-25 10:20:07 +08:00

打电话给客服说旧手机号用不了了，需要更改绑定手机，然后他会问你旧手机号是多少，你告诉他，然后他会再问你绑定邮箱是什么，之后会跟你要新手机号，接着你收到一条验证码然后告诉他，搞定。
注意是京东金融客服，不是京东客服，当然他俩帐号是通用的。

mogutouer

2019-03-25 10:20:52 +08:00

@yzkcy #3 打电话没有什么陌不陌生的
@gazce #1 电话

yzkcy

2019-03-25 10:41:42 +08:00

@mogutouer 如果能稳定复现，提交到 jsrc 应该有几千块钱奖励，楼主可以试一下。

flynaj

2019-03-25 14:56:05 +08:00

@mogutouer 按照你的说法是人为因素，不过也是隐患

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.