法律

用户信息泄漏被曝千万用户信息泄漏国家电网

2019-05-15 02:33:56来源:励志吧0次阅读

1 : 被曝千万用户信息泄漏?国家电紧急开会后深夜回应

国家电公司旗下两大自有支付平台掌上电力、电e宝,再次将这1全球公用事业企业推至风口浪尖。针对国官方APP已出现数据泄漏,触及用户范围超过千万级传闻,国公司于12月13日深夜通过官方微博回应称,经再次查证,在推行掌上电力、电e宝APP进程中不存在泄漏大量客户信息的情况。掌上电力、电e宝APP及相干信息系统无批量导出功能,无渠道可获得批量客户信息。

▲国公司微博声明

12月13日,有报导称,自今年5月国家电各地电力公司开始范围推行掌上电力后,大量数据从各地供电公司流入淘宝,然后从淘宝店铺倒卖至黑色产业链。这1消息之所以引发关注,在于国公司作为全球公共事业公司,其经营区域覆盖中国26个省(自治区、直辖市),覆盖国土面积的88%以上,供电人口超过11亿人。

据澎湃()了解,国公司当天为此召开了紧急会议。自电e宝封杀第3方支付入口传闻后,这已是国公司年内第2次因自有支付平台堕入舆论漩涡。

前述数据泄漏报导中所称的掌上电力APP,其实应指国公司于今年4月15日正式上线的电e宝APP。在2014年,国旗下掌上电力平台已上线,自那以后,地方供电所延续推行。根据官方介绍,掌上电力主要为客户提供通过进行支付购电、用电查询、信息定阅、客服等相干电力业务。

但近半年来国基层系统对电e宝的推行力度正在加大。除相同的充缴电费功能外,电e宝还被赋予了更多进军电商及互联金融的野心。国家电旗下英大系(英大期货、英大基金、英大租赁、英大证券、泰和人寿、英大信托)接近集齐金融全牌照。澎湃下载电e宝APP后发现,主界面类似于简化版的支付宝,其中的生活缴费功能也与支付宝类似,目前,已有部份地区可以用电e宝缴水费。

电e宝APP界面

今年5月,有媒体报道称,国内部下发的1份文件要求各地推行其自有支付平台电e宝,确立电e宝上交纳电费的主导地位。该文件同时提到,国正在推敲关闭支付宝、等第3方电费缴费接口,以尽快完成电e宝7个月内实现新增注册用户数超过50万的目标。事后国公司紧急辟谣,称电e宝是新增的客户交纳电费渠道,通过社会化第3方支付渠道交费的客户仍可选择原方式不变。

澎湃12月13日从多位国公司下属供电公司人士处了解到,电e宝上线至今,确切进行了大范围宣扬推行。比如,组织员工向前来办理业务的用户宣扬安装电e宝的好处、要求员工向亲朋好友和管辖范围内的用户推行、组织志愿者进小区发放电e宝使用手册和宣扬单等等,也的确有部分地方供电给内部员工下了下载注册指标。

有接近国人士对澎湃()称,为了提高电e宝使用率,各地方供电局展开了大量宣扬,极端情况下是可能出现在用户不知情的情况下拿用户信息注册,造成泄漏。但业内人士指出,即使极个别营销人员由于硬性指标,在客户不知情的情况下恶意注册刷业务量,也没必要经过淘宝平台,因此从淘宝渠道大范围泄漏信息的可能性极小。

2 : 中国人寿官用户信息大量泄漏

站可以无穷刷注册用户信息,可以暴力查询用户信息,使用户信息泄漏。其用户信息涵盖了用户的真实姓名,邮箱,号等等,被不法份子取得危害极大。

使用工具可以直接访问站SOAP接口,无穷刷注册用户信息,通过身份证号、邮箱等可以暴力查询注册用户信息,使用户信息泄漏。其用户信息涵盖了用户号、邮箱等等。

通过工具调用中国人寿注册接口,可以无穷刷注册,以下图:

通过工具使用身份证号,不用其他任何校验信息,就能够把用户信息全部查询出来

使用身份证号进行暴力查询或通过用户名暴力查询

解决方案:()

使用秘钥进行客户端访问权限控制。

3 : 链家旗下自若用户/员工信息全泄漏

1接口无任何权限控制,可以获得任意员工和租客全部资料。全部资料包括:

邮箱、、身份证号码、家庭住址、婚否、工作职位(员工),公司,安全问题,安全问题答案..

存在于找回密码页面:

接口:

可利用号遍历全部资料,无频度控制

返回值(测试的是1外面公然的员工号):

直接打开上面url便可

修复方案:[]

这里只需要知道号是不是存在,不用返回全部信息。建议对该接口做状态校验或权限控制

排卵期出血多少不一
益母颗粒什么时候吃好
月经不调吃什么好补血
分享到: