Go homepage(回首页)
Upload pictures (上传图片)
Write articles (发文字帖)

The author:(作者)左
published in(发表于) 2016/3/4 8:35:39
民生银行现低级漏洞：卡号泄露致用户隐私“裸奔” - 银行，网银，信用卡

民生银行现低级漏洞：卡号泄露致用户隐私“裸奔” - 银行,网银,信用卡 - IT资讯

当用户发生银行卡盗刷事件时都会去找银行理论，但答复无一例外都是用户的责任。换句话说，银行永远都不会出现安全问题，至少不会出现重大低级失误，或是覆盖所有用户的影响。

但今天不聊盗刷，只聊如今的银行产品与信息保护真的可靠么？当各家银行在互联网飞速拓展业务的同时，是不是开始忽视了什么。本次主角是民生银行信用卡手机客户端，当乌云君看到这个案例的时候脊背发凉，不仅是我正使用这款产品，还有我竟然从来就没怀疑过它，所以当它出现问题时，小小的三观有点崩塌。

民生银行信用卡客户端

上图是用户比较熟悉的民生银行信用卡客户端，但万万没想到这个漂亮的界面下竟然存在一个非常低级的安全漏洞（就在咱们眼皮底下），而它几乎可以影响所有民生信用卡用户。

为了证明这个漏洞影响，白帽子找了一些信用卡照片，提取卡号（说明完全随机挑选的）

为什么这些图片会被发到网上…

比如 6226000001267*** 和 6226000003372***，谁让你们非得把自己信用卡照片往网上传。接着打开信用卡客户端抓包

会有个更新个人信息的请求包

有个POST请求，这个请求提交的数据是自己的信用卡卡号，所以相信你已经get到了，我们就是要把这个卡号换成其他人的。。。

竟然看到了这张信用卡所有人的姓名、消费金额、消费日期等信息（15年12月3号刷了213.11元），在换一个卡号试试

同样查到了这张卡的所有人与最后消费金额、时间等信息（15年12月1号刷了152.18元）。提升点难度，白帽子又在网上找到了一个民生银行被盗刷用户发出的截图，虽然敏感内容做了掩盖处理

一张用户信用卡被盗刷的登记表

放大信用卡，黑色好高端的样子

得到卡号

用APP内部的接口查询一下，名字和消费信息肯定也返回了，跟登记表中的姓确实是一的，15年12月4号消费了5.02元。

接口可任意查询对应信用卡号的姓名与最后一次消费记录（还有一些信息类字段），如果这个漏洞发生在互联网企业产品中我不会觉得惊讶，但偏偏出在了我们新人并依赖的银行产品上。在传统企业进行互联网化后，更多的功能性接口、权限将会对任意一个互联网用户开放，变得愈加不可控。

民生银行对该漏洞非常重视，该漏洞于今年1月份报告后就得到了解决，用户不会受到这个漏洞影响。对于银行来说，互联网化后要积极关注互联网产品经常出现的问题；对于咱用户来说，银行卡号也是非常隐私的信息，不要轻易给予他人或传到互联网上，万一又出新漏洞了呢。

赞