新浪微活动存在钓鱼漏洞用户信息恐泄露

漏洞证明:

通过漏洞可使系统自动发信息告诉你 已中奖 增加可信度!

这是发活动后3分钟内中招的用户

在十多分钟内我就收集到了300名的用户信息!

骗子证明:

我上微博时候发现有人转发了@茅台网上商城 发起的活动 一个砸金蛋的,因为链接地址属新浪 所以我相信了,狗屎的砸了一下发现中奖,按照页面提示写了个人信息。本想坐等奖可是后来觉得越来越不对劲,于是查了下。

两个月不上微博,刚上就给我们发中奖信息?夸张了吧?

由于时间原因,只上传了这些证明图片,经过我们的专业技术检查确定了这个活动为虚假钓鱼活动。且新浪微活动存在钓鱼漏洞。这个活动是属黑客的钓鱼行为,帐号已被黑客利用。在4.1日 10点半时已有8000人参与了此号发起的活动,也就是说有8000名用户的个人信息遭到了泄露。唉,悲哀啊。

按黑市价:一个用户的信息可以按RMB出售,一手信息为2-5RMB,按最便宜的2RMB 那么黑客此次可以非法获取8000*2=1.6W RMB 而且这个是最低价 假如按5RMB 那么就是8000*5=4W

如果信息转手卖掉 也就是我们说的二手 三手 多来数次 此黑客大约最低可以获得5-8W左右收益。蛋疼!!

具体的漏洞证明我们将在近日公布。本来是想今天公布的,但是由于漏洞利用方式简单,怕发出来被非法分子利用,所以坐等修复吧,漏洞已报乌云漏洞平台,漏洞修复后漏洞细节到时会发的。

91ri.org点评:不想说什么,我也中招了,大家自己以后小心点吧,只能这样了 – – 唉

感谢el4pse等人的帮助。

想知道漏洞细节的朋友可以关注我们的微博:

新浪:

http://weibo.com/vim0x0n

腾讯:

http://t.qq.com/vim0x0n

本文由网络安全攻防研究室(www.91ri.org)信息安全小组原创,转载请注名出处。