首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  京东

京东账号系统存在巨大安全隐患

  •  
  •   mogutouer · 206 天前 · 2214 次点击
    这是一个创建于 206 天前的主题,其中的信息可能已经有所发展或是发生改变。
    只要你知道一个人的手机号码和他的名字以及邮箱,即可通过京东金融把他的绑定手机号改成自己的,然后通过找回密码重置他的密码,接着就可以用改了的手机号和密码登陆进去,名字电话和邮箱相信只要认识的都很容易能得到。

    虽然不会造成什么金钱上的损失,但订单记录,收件地址等就暴露了。
    9 回复  |  直到 2019-03-25 14:56:05 +08:00
        1
    gazce   206 天前 via iPhone
    找回密码不要邮箱接受验证码?
        2
    WordTian   206 天前 via Android
    这种问题一般来说,最好还是提交到各大厂商的安全平台(src)
    一是这种安全性问题的保密性要求,防止被恶意利用
    二是京东那边确认之后,会根据问题级别,有些相应的奖励
        3
    yzkcy   206 天前 via Android
    你确定在陌生网络环境陌生设备上也可以复现?
        4
    Tink   206 天前 via iPhone
    确定吗?如何复现
        5
    crab   206 天前
    不会是通过社工客服吧。
        6
    mogutouer   206 天前
    打电话给客服说旧手机号用不了了,需要更改绑定手机,然后他会问你旧手机号是多少,你告诉他,然后他会再问你绑定邮箱是什么,之后会跟你要新手机号,接着你收到一条验证码然后告诉他,搞定。
    注意是京东金融客服,不是京东客服,当然他俩帐号是通用的。
        7
    mogutouer   206 天前
    @yzkcy #3 打电话没有什么陌不陌生的
    @gazce #1 电话
        8
    yzkcy   206 天前 via Android
    @mogutouer 如果能稳定复现,提交到 jsrc 应该有几千块钱奖励,楼主可以试一下。
        9
    flynaj   206 天前 via Android
    @mogutouer 按照你的说法是人为因素,不过也是隐患
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3056 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 22ms · UTC 10:53 · PVG 18:53 · LAX 03:53 · JFK 06:53
    ♥ Do have faith in what you're doing.