漏洞概要
漏洞标题:腾讯邮箱文件夹区域加锁密码认证漏洞
公开时间: 2013-02-21
危害等级: 高
漏洞状态: 未联系到厂商或者厂商积极忽略
漏洞来源: http://www.chnlanker.com http://club.chnlanker.com
腾讯邮箱是用户量非常庞大的邮箱之一。今日本人无意中发现了腾讯邮箱文件夹区域加锁密码权限验证因设计疏忽导致用户的隐密邮件泄漏:
假设两人先后在异地同时登录邮箱,其中一人拥有“文件夹区域加锁密码”并进入邮件列表,而此时另一人即可无须密码便顺利进入加锁后的邮件列表并查看邮件内容!
漏洞后果:
经过反复测试发现问题根本是腾讯邮箱认证方式出现严重的BUG造成的,这个问题看似不是大问题!可是在“特殊人物” “特殊行业”来说就是一个致命的大问题!
现在电子邮箱所涉及到的包括银行,公司,机密文件,以及个人隐私文件,都存在于邮箱当中。
如果被“特殊目的”的人利用这个BUG 的话会造成难以想象的个人隐私泄漏。
附加本人今天就已经个人隐私泄漏了。
修补方案:
使用客户端与服务器端双重认证。