新闻链接：http://www.bitscn.com/news/internet/201412/418935.html
新闻时间：:2014-12-03 20:43

淘宝漏洞

今日，乌云漏洞公开了一个关于导致任意淘宝账号信息泄露的漏洞。该漏洞于10月13日由乌云白帽子谢祥应提出，通过这个漏洞可以获取淘宝会员的姓名、手机、邮箱信息。目前，厂商已经确认漏洞并进行恢复。

白帽子谢祥表示，在淘宝购物拍下一件商品后申请代付，写上需要查的淘宝账号。到确认时，查找以“2008”开头的源代码，找到：

<input type="hidden" name="peerPayerCardNo" value="2088412456214924"） />
这步也可以在代付记录里审核元素查看，然后在火狐上模拟手机访问网页，跳转到手机版付款界面，选择其他方式支付。

  

截图来自乌云

根据下图所示，进行代码替换。

截图来自乌云

具体操作参见漏洞演示视频，如下：

通过以上视频中演示的这个方法可以查询会员的支付宝电话。如果这些被泄露的电话落到坏人手里就可以实施一系列的诈骗活动。为什么近期那么多人接到说是淘宝客服的电话呢？原因在于很多人已经掌握了这个漏洞，现在市面上很多采集软件能自动采集淘宝网全网没有匿名的用户。在此，小编提醒淘宝用户小心被钓鱼。

值得一提的是，淘宝存在的安全问题已不是第一次被曝光。今年2月份，乌云平台就曾曝出淘宝安全认证机制存在漏洞，黑客可以简单利用该漏洞登录他人淘宝/支付宝账号进行操作——任何人无需密码，只需通过搜索引擎、便可直接获取其他用户的隐私(账户余额、交易记录、收货地址、姓名手机号码等敏感信息)。去年10月，乌云漏洞平台亦发布信息报告称，阿里推出的移动通信软件“来往”出现安全漏洞。漏洞描述中称“来往导致淘宝账号可被破解，波及余额宝支付宝。”而在阿里将淘宝、支付宝、来往等账号打通的背后，但凡有一端出现漏洞，其它账号也将受牵连。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！