11月14日消息,乌云平台中的《腾讯QQ可泄露用户私密聊天内容中的隐私URL(在搜搜中可以看到) 》漏洞报告现已公众公开,该漏洞9月底已经获得腾讯确认,并认为其危害等级为“低”。
据 北京方便面 介绍,“起因是我给朋友发了个url,很隐秘的,本来以为就我俩知道呢,后来发现搜搜居然也知道。然后去搜搜看了下,就有下面的东西了。我想问问腾讯,好多订单是老长一串随机码或者订单号加其他参数验证的,甚至是32位MD5的订单号。你们是如何知道的?人家小两口开个情侣房,却不曾想搜搜早就知道了。”
当用户在QQ聊天中发送了包含URL地址的信息,其详情就会被腾讯搜搜抓取。在搜搜中输入“intitle:XXXX site:XXXX.com”关键词,例如“intitle:酒店订单详情site:hotels.ctrip.com”就能查看携程网的酒店订单,输入“intitle:订单详情site:tenpay.com”就够看到大量未加密的财付通用户的订单信息。
腾讯回应:非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。
同样的关键词 我们看下google、baidu:intitle:酒店订单详情 site:hotels.ctrip.com
下面看图吧:
本文来源:IT之家 作者:佚名