[公开漏洞]中国建设银行少量用户证件号等信息泄露

中国建设银行少量用户证件号等信息泄露 相关厂商： 中国建设银行 漏洞作者：沦沦 提交时间：2014-04-06 14:12 公开时间：2014-05-21 14:13 漏洞类型：重要敏感信息泄露 危害等级：高 自评Rank：18 漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理 漏洞来源：http://www.wooyun.org Tags标签： 敏感信息泄漏 漏洞详情 披露状态：

2014-04-06：细节已通知厂商并且等待厂商处理中
2014-04-11：厂商已经确认，细节仅向厂商公开
2014-04-21：细节向核心白帽子及相关领域专家公开
2014-05-01：细节向普通白帽子公开
2014-05-11：细节向实习白帽子公开
2014-05-21：细节向公众公开

简要描述：

中国建设银行少量用户证件号等信息泄露

详细说明：

由于中国建设银行把重要的客户身份证信息没有进行严格的放置，最终被搜索引擎所收录。

问题URL：www.ccb.com/sc/20090831_1251709679/sms.xls 可直接下载



下载之后excel的sheet1下你们是已经把客户的证件号给保密了，但在sheet2下没有进行保密，身份证号各种全都出来啦！！

信息泄露了哦！！

然后我再整理一下

这是你们短信银行中奖的客户名单信息，还是好好的保密一下客户的信息，不然被hacker利用可不好

漏洞证明：

由于中国建设银行把重要的客户身份证信息没有进行严格的放置，最终被搜索引擎所收录。

问题URL：www.ccb.com/sc/20090831_1251709679/sms.xls 可直接下载



下载之后excel的sheet1下你们是已经把客户的证件号给保密了，但在sheet2下没有进行保密，身份证号各种全都出来啦！！

信息泄露了哦！！

然后我再整理一下

这是你们短信银行中奖的客户名单信息，还是好好的保密一下客户的信息，不然被hacker利用可不好

修复方案：

删除客户名单

版权声明：转载请注明来源 沦沦@乌云 漏洞回应 厂商回应：

危害等级：低

漏洞Rank：4

确认时间：2014-04-11 14:04

厂商回复：

作为信息披露不当事件认定，根据建设银行4月6号的反馈情况，已经对所述文件进行更新，删除用户隐私信息。

最新状态：

暂无