大概四个月前，我在三星的网上商店买了一台新电视。几天后我在邮箱里收到了一个商品跟踪链接。

http://www.agsystems.com/listhawb.asp?searchtype=hawb&searchvalue=1138977

重复使用物流跟踪数字

我最开始收到的这个链接，显示的订单并不是我的。我猜想可能是记录错误吧，但是我那时太忙了所以没有联系三星说这个事。

当我现在再看这个链接的时候，它竟然显示了两个订单——我的订单和一个其他人的订单。

跟踪结果显示了好几个订单，订单号码被打码是因为这些不是我的订单——这倒没什么影响（到下面你就知道了）

我有点小担心，我的跟踪链接显示了两个订单，所以我联系了三星想搞清楚到底什么情况。我收到了这样过的回复：

泄露订单信息

     当我点击了HAWB(House Airway Bill)链接，它显示了我订单的细节信息。

这里很明显有很多关于我的信息...

这确实是我的订单，一个60英寸的三星电视送到Orchard Park,纽约，POD（交货证明）：Metzger。它甚至还有我在三星网上的订单号（(11109231971 ），看起来大量的信息暴露给了未验证的用户。

等一下....那个页面上不是有两个链接么？我又返回查看了三星发送给我的那个链接，然后点击另一个HAWB链接。现在我看到了所有使用这个订单号的订单信息（我有点小嫉妒，因为他们订购了一个更大的电视）。

如果三星发给我的链接可以看到其他人的订单，那么肯定别人也能看到我的订单。

枚举跟踪ID

这就让人很失望了，别人只需要一个三星发送给我的那个跟踪URL，他们就可以看到很多我的订单细节信息（也可以看到其他人的订单信息）。

在某些情况下，有些应用使用机密URL来进行一些敏感操作（比如 ：通过邮箱发送的密码重置url，）。这件事还不是这样，我的跟踪URL肯定是被发送给某个有同样跟踪ID的人了——这已经没有任何保密可言了。

即使没有人收到同样跟踪链接，那这个链接依然不能被视作安全的。要注意关于这个链接唯一特别的地方就是一个相对而言安全度比较低的整数（1138977 ）。这样结合三星回复的托运人“每年都回收他们的跟踪号码 ”，就能很明显的看出来这些ID一直被继续使用。

所有需要知道的就是一个跟踪链接，然后你就可以遍历所有的ID，只需要5分钟写个脚本，就可以得到三星所有的物流信息：

* 消费者的姓氏

* 消费者所在的城市

* 购买的东西

* 订单号码

利用数据

让我们想想，将这四种信息泄露给有恶意企图的人会有多危险，拥有了姓氏和城市，很简单的网络搜索就可能会找到对应的手机号。

一旦找到了一些可能的手机号，我们就可以开始进行社会工程攻击，拨打这些号码了：

如果他们说他们没有购买任何东西，挂掉然后拨打下一个手机号。如果听起来他们知道我们在说什么，那就多说些信息让他们确定这个电话是合法的。

到这里我们已经把一只脚伸进门了，并且很明显我们这个电话是来自三星的合法电话，一个骗子怎么会知道他们的订单号和他们购买的东西呢？

是时候利用这个这份信任然后提供一个无法拒绝的优惠来获得支付信息了。

你知道了吧，用得到的这四种信息进行社会工程学攻击是非常容易的。

泄露进一步加大

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！