腾讯微信惊天漏洞,利用手机号致帐号丢失无法找回!——论个人信息安全与防护

郑重声明:本文所述内容只用于学习交流,请勿用于任何违法用途。也请大家提高警惕,尽早提高自己的安全等级,避免悲剧的发生。本文只描述客观事实,不对发生的任何主观恶意攻击所造成的损失负责。

本文禁止转载

本文写于今日下午2点多,没有立即发是因为本屌向乌云先反馈了一下(本屌一直觉得乌云非常牛逼,很希望能有一个账户,无奈本屌太水),但是却没有通过审核,可能本屌的表达能力有限。。。所以我就直接发出来了。

==================================================================================================

首先好吧,本屌承认有些标题党了。。。而且这个问题绝对不是本屌第一个发现的,只是亲身经历之后想要记录一下。

背景

本屌先把事情的背景描述一下:

去年的时候新买了个手机号,看着微商什么的最近挺火,但是用自己的微信发来发去的觉得很不好,遂决定用这个手机号注册个微信以备用,万一我业余的时候也走上这条路了呢。

问题导火索

打开微信,用手机号进行注册,接收验证码填写完毕之后,提示此手机号已被绑定,选择“否,继续注册”就无法进行下去了。

于是本屌致电微信客服,客服说需要提交截图证明手机的入网时间(当写到这里的时候想到这里也很不严谨,只这一个截图的话,如果某个人的手机号的服务密码泄漏了,那一样是危险的。)。但是在电脑上登录网站之后,用户那里显示的是姓名并不是手机号,虽能查看入网时间,但是客服坚持截图不能用作证明并且不愿意为本屌等待过多时间,与客服沟通多次,尝试多部分截图、缴费记录截图等,未遂,就是不给解绑,虽然他也是按规定办事,但实在是太死性。(正好这里吐槽下腾讯的客服,微信客服还好了,在线的腾讯客服简直就是渣!)

发现Bug

本屌的小暴脾气,既然客服不给操作,那就自己尝试看看,没想到还真把微信号拿下了。具体尝试过程不表,以下只描述具体核心操作步骤。

密码忘了,只有手机号,没有对方的微信号等其他任何信息,但我就是硬生生地登录了对方的微信。

过程比较简单我就不废话了,直接看图吧!

看到了没有?!接收了验证码之后直接修改密码就登录了好吗?!那之前本屌等了20分钟挤进微信热线最后被告知无法解绑的意义何在?!如果想帮本屌的手机号解绑,买个黑卡替换掉就行了,当然本屌没有这么做,因为后来在手机APP上找到了号码的相关图片证明,遂又致电微信热线解除了绑定。而这个微信号呢?什么都没有了,完全掌握在本屌的手中,就跟死号一样,本屌已经联系了微信的主人取回微信,不确定如果不联系她的话她能不能通过申诉找回,但这样做时间成本的,也平添了不必要的烦恼。

安全总结

本屌的手机号是运营商二次发号购买的,不废话;

微信对于这个问题怎么看,是否修改它的逻辑,也不是你我能说了算的,不废话;

最重要的就是我们每个人从自己做起了(很大一部分安全问题都是由于个人的疏忽导致的):

1. 保管好自己的手机和手机号,不要将验证码发给任何人。

2. 查看自己的微信号、支付宝帐号(支付宝也看一下吧,万一也这样呢),甚至包括你的银行卡帐号上面捆绑的手机好是不是自己的,不是自己的马上更换。

3. 不要将你的个人信息轻易地暴露给任何人,虽然很可能你的个人信息已经很容易在网上搜到了。

如果有遗漏欢迎补充,留言即可,本屌会一一回复。

==================================================================================================

郑重声明:本文所述内容只用于学习交流,请勿用于任何违法用途。也请大家提高警惕,尽早提高自己的安全等级,避免悲剧的发生。本文只描述客观事实,不对发生的任何主观恶意攻击所造成的损失负责。

本文禁止转载

时间: 2024-09-30 16:29:29

腾讯微信惊天漏洞,利用手机号致帐号丢失无法找回!——论个人信息安全与防护的相关文章

微信、QQ和手机号之间不得不说的故事!

发文字,发图片,发心情,视频聊天,查看附近的人,微信能干的事情QQ都可以,那么它们有什么区别,我QQ用得好好的为什么要我联系人都导到微信去?我们很早就有了QQ,但是在QQ时代,我们虽然用QQ发消息聊天,但我们该用短信的时候还得用短信,该打电话的时候还得打,没听说过运营商害怕QQ什么的,但是为什么它们现在却是一致感觉要么自己革命,要么被微信革命的感觉?有人说如果用微信联系,我给你发微信消息你不在线怎么办,还不是只有短信可靠?我不用摇一摇,微信对我还有什么意思?等等等等...        类似上面

视角来分析 腾讯 微信访客系统的一些问题 (二 )end

接上文 的分析(吐槽 ) http://djt.qq.com/article/view/1149?bsh_bid=409172368 1  如选择 :访问事由,输入访问对象的微信昵称(或中文名.英文名.手机号)确认被访人,即完成登记. 看起来很美好,既然扫描了微信和安保扫身份证,为何还能手动输入呢.手动输入后,最终你拿到的登记后即打印的还是有微信的.电子名片和身份证不是已经说明了问题了嘛. 2.1 继续:选择关注公信号 这个个人持有保留意见,当然对于腾讯来说收集访客的信息和保持联系 这个也没错

Apache漏洞利用与安全加固实例分析

Apache 作为Web应用的载体,一旦出现安全问题,那么运行在其上的Web应用的安全也无法得到保障,所以,研究Apache的漏洞与安全性非常有意义.本文将结合实例来谈谈针对Apache的漏洞利用和安全加固措施. Apache HTTP Server(以下简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,是最流行的Web服务器软件之一.虽然近年来Nginx和Lighttpd等Web Server的市场份额增长得很快,但Apache仍然是这个领

Zabbix的前台SQL注射漏洞利用

今年8月份Map在wooyun上发了个Zabbix某前台SQL注射漏洞 ,11月份才公开. 漏洞详情大约是这样的: 在zabbix前端存在一个SQL注射漏洞,由于zabbix前台可以在zabbix的server和client进行命令执行,所以这会导致很严重的后果. 在 /chart_bar.php 的163行代码 获取了一个来自GET,POST,COOKIE的值itemid. $itemid = $item['itemid']; 最后这个参数进到了SQL查询的过程 在同一个文件内的$period

《Look Mom, I don’t use Shellcode》议题解析&IE11漏洞利用小议

0x0 前言 <Look Mom, I don't use Shellcode>是2016年Syscan360上讲过的一个议题,这个议题的副标题是"Browser Exploitation Case Study for Internet Explorer 11 ",可以看出内容是关于IE11浏览器中的漏洞利用的. 非常可惜我没有能够在现场听到这个议题,但是在会后拿到了演讲者的ppt研究了一下,这里写出来也是做一个分享. 0x01 正文 这是演讲者的PPT封面 演讲者介绍漏洞

LFI漏洞利用总结

主要涉及到的函数 include(),require().include_once(),require_once() magic_quotes_gpc().allow_url_fopen().allow_url_include().move_uploaded_file() .readfile() file().and file_get_contents().upload_tmp_dir().post_max_size().and max_input_time()等 典型漏洞代码: <!–?php

腾讯微信封杀微软小冰,不足为奇

无疑,微软小冰在技术上是一个非常棒的产品,这也是我最为关注的人工智能领域微软公司的一次新的尝试.微软亚洲互联网研究院没落了那么多年,想出奇制胜的心理可以理解(太明显了,从名字就看出来了),但方法欠妥,微软亚洲研究院也大可不必装得楚楚可怜. 然而,单就小冰入驻微信的方式,我实在难以想象像微软这样的公司会犯这样的错误.这种以成千上万聊天机器人入驻别人的平台,截取用户信息的行为,法律上都存在风险,且不说小马哥肯定有一种被刀子架在脖子上冰凉感觉,以及微信平台为此要付出多大的维护成本和可能遇到的性能瓶颈.

ETERNALROMACE漏洞利用流程备录

NSA中Eternalromance模块为windows中针对SMB服务的漏洞利用工具,该工具针对CVE-2017-0145. SMB在处理SMB_COM_TRANSACTION命令的请求时,如果发送的内容超过最大长度,需要使用SMB_COM_TRANSACTION_SECONDARY命令请求发送之后的数据,如下图所示,通过该函数SMB_COM_TRANSACTION_SECONDARY才能获取对应的正确SMB_COM_TRANSACTION(主要通过判断两个包的PID,MID,TID和UID是

腾讯微信被怼,iOS版微信不能打赏了

2017年4月19日,估计很多有着大量粉丝的微信自媒体作者会感到很不爽,因为他们的苹果粉丝再也无法很爽快地.肆意.任性地打赏他们了,按目前iphone手机的占有率,估计打赏率会掉一半以上. 据微信派微信公众号4月19日消息,受苹果公司新规定影响,2017年4月19日17:00起,iOS版微信公众平台赞赏功能将被关闭, 安卓等其他版本微信赞赏功能不受影响. 经过与苹果方面长期沟通协调,最终,我们选择对iOS版微信赞赏功能进行了调整,对此造成的不便,深感遗憾. 感谢公众号运营者们长期以来对于内容的支