被泄露的用户信息除了用户的子弹短信ID及网名之外,还可以看到其所在地、对应的微博账号、微信号、QQ账号、Smartisan账号等一系列账号信息,且均为明文显示,未做加密处理。
一位互联网安全领域的人士对记者表示,这是由于服务端存储了用户的通讯明文内容,可以通过链接的方式访问,对链接又没有做权限控制。
“说白了就是最简单的越权,比如你正常访问一个链接看到自己的信息,把链接对应的编号改一下,却看到了别人的信息,这种漏洞很容易被人利用,影响却很大。”该人士称。
此外,也有用户发现,子弹短信在陌生人添加好友时,可以看到对方的手机号,存在巨大的安全隐患。
相关消息在此后几天一直未受到人们关注。直到8月27号,子弹短信完成1.5亿元融资之后,关于其泄露用户隐私的事情才最终发酵出来。
虽然子弹短信于23号就在微博上对此事做出了回应,但大家好像并没有注意到这个声明。
这使得子弹短信不得不于8月29号再次发出官方声明,称产品自8月20日正式上线后,由于web端接口设计疏漏,确实出现过web端显示明文手机号和自增ID的问题。团队于21日晚间发现相关问题后,已立刻停止了web端服务,产品也已于23日重新上线。
另外,由于接口设置有限频功能,第三方无法实现拖库,因此并不能将用户信息批量导出去。关于添加陌生人好友时,可以看到对方手机号的问题也已解决。
上述互联网安全领域人士对记者称,子弹短信web端的漏洞,可以通过越权的方式遍历(沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问),但会留下浏览记录,厂家观察下日志就会发现。不过既然官方进行了设置,应该也就没有什么问题了。
随后,记者尝试通过源代码查看子弹短信的用户注册信息,发现已无法打开相关网站。
原文转自:https://tech.sina.com.cn/i/2018-08-31/doc-ihiixyeu1649443.shtml