V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kouryu
V2EX  ›  iPhone

南京某搞分期付款买 iPhone 的公司,客户资料泄露了,这下估计要有不少人遭殃了!

  •  
  •   kouryu · 2016-09-26 16:13:39 +08:00 via iPhone · 11221 次点击
    这是一个创建于 2986 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2016-09-26 16:53:38 +08:00
    某个接口有问题。一次能拉走全省的数据!改个编号继续拉!
    姑且说之,姑且听之。
    22 条回复    2016-09-27 09:04:40 +08:00
    lsyaaaa
        1
    lsyaaaa  
       2016-09-26 16:17:37 +08:00
    骗子可以出来工作了。。。。
    KevinChan
        2
    KevinChan  
       2016-09-26 16:19:07 +08:00 via iPhone
    是南京古称加分期的那家分期吗
    知名度不高
    kouryu
        3
    kouryu  
    OP
       2016-09-26 16:22:50 +08:00 via iPhone
    不是,
    公司叫:安 xun , app 好像叫“品 zhi ”

    @lsyaaaa 骗子已经有数据库包了……
    yghack
        4
    yghack  
       2016-09-26 16:29:04 +08:00
    求确切消息
    kouryu
        5
    kouryu  
    OP
       2016-09-26 16:36:47 +08:00
    @yghack 已经确切了,基本上锅坐实砸在技术人员头上了!
    去年的时候某人和我说入职新公司的时候,我就瞄了一眼他们的东西。随便敲几个 url 参数就撸一串东西出来。接口也是一泡污。——当然不是提醒你们去拉数据。

    经营方面:
    靠群发短信,好像业绩也不错。渠道拿货价比官网价格低个 500 ,分期价格按照官网价格,免利息手续费。某月随便就有 1w 多台销量,(不知道真假!

    其他方面,也没啥透露的,内部管理也是一泡污,老板一看就是法盲!大概这样吧
    kouryu
        6
    kouryu  
    OP
       2016-09-26 16:38:43 +08:00
    更正一下,最后一句:老板就是法盲!
    去掉“一看”,免得言辞充满片面性。
    yghack
        7
    yghack  
       2016-09-26 16:54:31 +08:00
    坐等数据泄漏
    kouryu
        8
    kouryu  
    OP
       2016-09-26 16:55:45 +08:00
    @yghack 黑产已经在行骗进行时了!
    yghack
        9
    yghack  
       2016-09-26 17:01:30 +08:00
    @kouryu 已经找到接口了,我擦,真 tmd 没水平。
    kouryu
        10
    kouryu  
    OP
       2016-09-26 17:15:55 +08:00 via iPhone
    @yghack 这是第二次泄漏,大概只要网站能跑通业务流程,他们就觉得 ok !
    上一次前段测试支付锁定 1 分钱,直接被拿去发布。搞了一堆一分钱买 iPhone 的订单。
    这次泄露,惨的是用户喽,毕竟分还没还完,一不小心,不是被这波骗子得手也有可能被下一波得手……
    上次有人说冲话费也有 bug ,想来我没去凑热闹,真是正直的令人脸红🙄️
    SkyKnight
        11
    SkyKnight  
       2016-09-26 17:18:03 +08:00
    这种小公司的信安果然不靠谱啊
    yghack
        12
    yghack  
       2016-09-26 17:18:37 +08:00
    @kouryu 安全做的太差了
    kouryu
        13
    kouryu  
    OP
       2016-09-26 17:46:08 +08:00 via iPhone
    @SkyKnight
    @yghack
    就这样依然挣钱啊。
    kouryu
        14
    kouryu  
    OP
       2016-09-26 18:28:04 +08:00 via iPhone
    南京好多家搞互联网的真是一泡污
    我家楼下的附近,某小贷公司搞的 p2p , ios 程序员大概是:“同一个 viewcontroller 里的 view1 传值给 view2 ,要怎么写?有现成 demo 吗?”
    某 dang ,劫持返利!上次有人说路过他们办公室,想在门口拉一泡大便。
    另外的俩家 p2p ,有一家挺出名!
    另一家不知道那里搞来的五年前资料通知我去面试!
    然后就是一梭子的分期业务,搞得飞起!随便撸一下服务器就炸了!
    各种拿程序员不当人,劳资纠纷在如果打印起来,可以盖小楼。
    光吐槽,我都听出老茧了
    sobigfish
        15
    sobigfish  
       2016-09-26 20:28:26 +08:00
    “改个编号继续拉” 平行权限漏洞么。。。网上一搜一堆案例,居然还没引起重视...
    虽然被关了,但索引还有
    https://www.google.com.hk/search?newwindow=1&safe=strict&q=平行权限+site%3Awooyun.org
    kouryu
        16
    kouryu  
    OP
       2016-09-26 20:39:37 +08:00 via iPhone
    @sobigfish 完全接口傻逼,不是防护弱智,根本没有防护。这次幸亏是前工作人员的代码,要不然又是闹腾个大事件
    kouryu
        17
    kouryu  
    OP
       2016-09-26 20:41:11 +08:00 via iPhone
    @sobigfish 据说请了某安全公司,可怜用户又要被再卖一次
    kouryu
        18
    kouryu  
    OP
       2016-09-26 20:51:33 +08:00 via iPhone
    @sobigfish 喷了,我描述的不够准确。我意思是拉完一个省数据之后改下一个省 id 继续拉数据。当然这个公司的事情我毫不知情,喝完酒的情况下手机误触随机拼凑出来的文字。
    imNull
        19
    imNull  
       2016-09-27 00:53:50 +08:00 via Android
    @yghack 真快,现在 app 服务器貌似已经关停了(无响应
    kouryu
        20
    kouryu  
    OP
       2016-09-27 07:57:27 +08:00 via iPhone
    @imNull 难道不是日常宕机?
    imNull
        21
    imNull  
       2016-09-27 08:02:03 +08:00 via Android
    @kouryu 哈哈,这倒还真没想到。泄漏的接口是 app 的身份信息那里吧(坏笑~
    kouryu
        22
    kouryu  
    OP
       2016-09-27 09:04:40 +08:00 via iPhone
    @imNull 不知道呢(笑
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   923 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 21:33 · PVG 05:33 · LAX 13:33 · JFK 16:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.