当用户发生银行卡盗刷事件时都会去找银行理论,但答复无一例外都是用户的责任。换句话说,银行永远都不会出现安全问题,至少不会出现重大低级失误,或是覆盖所有用户的影响。
但今天不聊盗刷,只聊如今的银行产品与信息保护真的可靠么?当各家银行在互联网飞速拓展业务的同时,是不是开始忽视了什么。本次主角是民生银行信用卡手机客户端,当乌云君看到这个案例的时候脊背发凉,不仅是我正使用这款产品,还有我竟然从来就没怀疑过它,所以当它出现问题时,小小的三观有点崩塌。
民生银行信用卡客户端
上图是用户比较熟悉的民生银行信用卡客户端,但万万没想到这个漂亮的界面下竟然存在一个非常低级的安全漏洞(就在咱们眼皮底下),而它几乎可以影响所有民生信用卡用户。
为了证明这个漏洞影响,白帽子找了一些信用卡照片,提取卡号(说明完全随机挑选的)
为什么这些图片会被发到网上…
比如 6226000001267*** 和 6226000003372***,谁让你们非得把自己信用卡照片往网上传。接着打开信用卡客户端抓包
会有个更新个人信息的请求包
有个POST请求,这个请求提交的数据是自己的信用卡卡号,所以相信你已经get到了,我们就是要把这个卡号换成其他人的。。。
竟然看到了这张信用卡所有人的姓名、消费金额、消费日期等信息(15年12月3号刷了213.11元),在换一个卡号试试
同样查到了这张卡的所有人与最后消费金额、时间等信息(15年12月1号刷了152.18元)。提升点难度,白帽子又在网上找到了一个民生银行被盗刷用户发出的截图,虽然敏感内容做了掩盖处理
一张用户信用卡被盗刷的登记表
放大信用卡,黑色好高端的样子
得到卡号
用APP内部的接口查询一下,名字和消费信息肯定也返回了,跟登记表中的姓确实是一的,15年12月4号消费了5.02元。
接口可任意查询对应信用卡号的姓名与最后一次消费记录(还有一些信息类字段),如果这个漏洞发生在互联网企业产品中我不会觉得惊讶,但偏偏出在了我们新人并依赖的银行产品上。在传统企业进行互联网化后,更多的功能性接口、权限将会对任意一个互联网用户开放,变得愈加不可控。
民生银行对该漏洞非常重视,该漏洞于今年1月份报告后就得到了解决,用户不会受到这个漏洞影响。对于银行来说,互联网化后要积极关注互联网产品经常出现的问题;对于咱用户来说,银行卡号也是非常隐私的信息,不要轻易给予他人或传到互联网上,万一又出新漏洞了呢。
本文来源:不详 作者:佚名