_domenick
2021-06-30T05:43:21+00:00
我三年前就职于某头部海外电商平台,因为涉及到自动续费功能,该开发该功能时,平台是直接明文记录了用户的信用卡账号和安全码。
不过因为数据存在产品环境数据库内,而该平台对数据库的权限卡的非常死,所以说只要DBA不瞎搞,还是相对安全的。
然后重点就来了,因为某个蠢货上错了价格,那段时间退款非常多,客户对退款流程太长非常不满,于是客服那边就要求人工介入,并开发了一个名为“金手指”的功能,让客服可以直接查到客户的全部信息,其中就包括了信用卡账号和安全码。虽然在金手指账号权限管理上做足了功夫,最终也及时注销了所有账号,但我们几个开发心里都清楚,这个api并没有从代码库里移除掉(其实是大家都忘了)。
我们用伪造的token一样可以访问api并根据用户名或用户id获取其所有信息。而用户名在评论里就可以看得到。
好在我们几个都是奉公守法的公民,并没有拿这个漏洞去做什么坏事。 其实也不敢
如果有一天我真的走到绝境了,我会拿着所有的钱去海外沽空该平台的股票,然后再发布该漏洞。(目前仍未修复,相关人员均已离职) [s:ac:哭笑]
你看,所有的壁垒其实都是从内部攻破的。
[quote][tid=27478912]Topic[/tid] Post by [uid=21076252]回龙教教主[/uid] (2021-07-05 13:44):
我三年前就职于某头部海外电商平台,因为涉及到自动续费功能,该开发该功能时,平台是直接明文记录了用户的信用卡账号和安全码。
不过因为数据存在产品环境数据库内,而该平台对数据库的权限卡的非常死,所以说只要DBA不瞎搞,还是相对安全的。
然后重点就来了,因为某个蠢货上错了价格,那段时间退款非常多,客户对退款流程太长非常不满,于是客服那边就要求人工介入,并开发了一个名为“金手指”的功能,让客服可以直接查到客户的全部信息,其中就包括了信用卡账号和安全码。虽然在金手指账号权限管理上做足了功夫,最终也及时注销[/quote]ama么。
这类感觉你也没法大规模操作吧,比如拿着这些挨个花钱之类的,受害者第一时间报警,再把相关账号一冻结,顺藤摸瓜把人逮住就完事了。然后再审出你们这个数据库,给对应银行发通知要求换卡。
就好比说现在想砸窗户偷东西难度不大,难度真正大的是自己怎么在严密的监控系统下不被抓。
信用卡还需要有效期。 不知道是不是一并都有。 信用卡过了有效期也就换卡了。 所以风险大概可控。
Reply to [pid=529824645,27478912,1]Reply[/pid] Post by [uid=43102730]DuangKang[/uid] (2021-07-05 13:55)
对的,其实真要追查起来,嫌疑人很快就能锁定范围[s:ac:偷笑]所以基本上没用,除非是破釜沉舟。
Reply to [pid=529823551,27478912,1]Reply[/pid] Post by [uid=38495517]karronqiu[/uid] (2021-07-05 13:51)
几乎是全部符合要求的。但有些功能上线催的紧,下面人偷工减料的事情也是不可避免的。
卡号安全码有了
你还需要有效期以及银行预留电话收到的验证码
理论上不会出大乱子
但是就怕转卖信息给电诈的人
说到这个我之前账户里进了一笔钱,银行客户经理居然直接打电话给我说我账户上有这么一笔钱推荐我搞理财产品[s:ac:晕]
[quote][pid=529828215,27478912,1]Reply[/pid] Post by [uid=62242757]F91是我大哥[/uid] (2021-07-05 14:10):
卡号安全码有了
你还需要有效期以及银行预留电话收到的验证码
理论上不会出大乱子
但是就怕转卖信息给电诈的人[/quote]不需要
绕过电话和短信验证的方法非常多
包括号称安全度”极高"的国内银行都可以直接完成外币冻结,3日内扣款,扣款前无动账提醒
[quote][pid=529828215,27478912,1]Reply[/pid] Post by [uid=62242757]F91是我大哥[/uid] (2021-07-05 14:10):
卡号安全码有了
你还需要有效期以及银行预留电话收到的验证码
理论上不会出大乱子
但是就怕转卖信息给电诈的人[/quote]仅限国内才会有手机验证码这回事
国外交易不需要这些 卡号 安全码 账单地址 就可以完成交易了