乌云:腾讯确认QQ泄露私密聊天中隐私URL

昨日,国内专业的漏洞报告平台:乌云,爆出了名为“腾讯QQ可泄露用户私密聊天内容中的隐私URL”的漏洞报告,现已公众公开,该漏洞9月底已经获得腾讯确认,并认为其危害等级为“低”。

乌云:腾讯确认QQ泄露私密聊天中隐私URL

私密聊天的保密很重要

据北京方便面 介绍,“起因是我给朋友发了个url,很隐秘的,本来以为就我俩知道呢,后来发现搜搜居然也知道。然后去搜搜看了下,就有下面的东西了。

我想问问腾讯,好多订单是老长一串随机码或者订单号加其他参数验证的,甚至是32位MD5的订单号。你们是如何知道的?人家小两口开个情侣房,却不曾想搜搜早就知道了。”

当用户在QQ聊天中发送了包含URL地址的信息,其详情就会被腾讯搜搜抓取。在搜搜中输入“intitle:XXXX site:XXXX.com”关键词,例如“intitle:酒店订单详情site:hotels.ctrip.com”就能查看携程网的酒店订单,输入“intitle:订单详情site:tenpay.com”就够看到大量未加密的财付通用户的订单信息。

腾讯回应:非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。