CBSi中国·ZOL 发表于:13年11月15日 08:28 [转载] 中关村在线
昨日,国内专业的漏洞报告平台:乌云,爆出了名为“腾讯QQ可泄露用户私密聊天内容中的隐私URL”的漏洞报告,现已公众公开,该漏洞9月底已经获得腾讯确认,并认为其危害等级为“低”。
私密聊天的保密很重要
据北京方便面 介绍,“起因是我给朋友发了个url,很隐秘的,本来以为就我俩知道呢,后来发现搜搜居然也知道。然后去搜搜看了下,就有下面的东西了。
我想问问腾讯,好多订单是老长一串随机码或者订单号加其他参数验证的,甚至是32位MD5的订单号。你们是如何知道的?人家小两口开个情侣房,却不曾想搜搜早就知道了。”
当用户在QQ聊天中发送了包含URL地址的信息,其详情就会被腾讯搜搜抓取。在搜搜中输入“intitle:XXXX site:XXXX.com”关键词,例如“intitle:酒店订单详情site:hotels.ctrip.com”就能查看携程网的酒店订单,输入“intitle:订单详情site:tenpay.com”就够看到大量未加密的财付通用户的订单信息。
腾讯回应:非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。