当前位置:经济频道首页 > 科技前沿 > 正文

子弹短信中枪:上线10天漏洞百出 被吐槽充满色情信息

2018-08-31 16:36:44  新京报    参与评论()人

被泄露的用户信息除了用户的子弹短信ID及网名之外,还可以看到其所在地、对应的微博账号、微信号、QQ账号、Smartisan账号等一系列账号信息,且均为明文显示,未做加密处理。

一位互联网安全领域的人士对记者表示,这是由于服务端存储了用户的通讯明文内容,可以通过链接的方式访问,对链接又没有做权限控制。

“说白了就是最简单的越权,比如你正常访问一个链接看到自己的信息,把链接对应的编号改一下,却看到了别人的信息,这种漏洞很容易被人利用,影响却很大。”该人士称。

此外,也有用户发现,子弹短信在陌生人添加好友时,可以看到对方的手机号,存在巨大的安全隐患。

相关消息在此后几天一直未受到人们关注。直到8月27号,子弹短信完成1.5亿元融资之后,关于其泄露用户隐私的事情才最终发酵出来。

虽然子弹短信于23号就在微博上对此事做出了回应,但大家好像并没有注意到这个声明。

子弹短信中枪:上线10天漏洞百出 被吐槽充满色情信息

这使得子弹短信不得不于8月29号再次发出官方声明,称产品自8月20日正式上线后,由于web端接口设计疏漏,确实出现过web端显示明文手机号和自增ID的问题。团队于21日晚间发现相关问题后,已立刻停止了web端服务,产品也已于23日重新上线。

另外,由于接口设置有限频功能,第三方无法实现拖库,因此并不能将用户信息批量导出去。关于添加陌生人好友时,可以看到对方手机号的问题也已解决。

上述互联网安全领域人士对记者称,子弹短信web端的漏洞,可以通过越权的方式遍历(沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问),但会留下浏览记录,厂家观察下日志就会发现。不过既然官方进行了设置,应该也就没有什么问题了。

关键词:

相关报道:

    404 提示信息
    404

    您访问的页面找不回来了!

    返回首页
      您感兴趣的信息加载中...

    相关新闻