• 鸿毛21-生活、新知、感悟 hongmao21.com
  • 新的启程  ~  万年历    时钟   
  • 声明 ~  关于本站没有电子公告服务说明-20180517    
  • 践行自由、开放、互助分享的互联网精神
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏吧
  • Hi,本站更换全新主题,欢迎访问,新主题来自云落的GIt,感谢。 -0907 

吐槽:发现腾讯云安全缺失,重大安全逻辑漏洞,账户不能修改

观点 鸿毛21 5年前 (2019-08-11) 3374次浏览

博客挂在腾讯云,最近发现腾讯云有安全逻辑风险。

让我今夜无眠呀。夜未眠,欲哭无泪,又不知所措,还无能为力。

基于登陆用户邮箱不能修改,我认为腾讯云存在以下问题点。


腾讯云安全逻辑:
1.只能用邮箱或绑定的微信,QQ 登陆。
2.邮箱账号无法修改。
3.没有紧急冻结,限制访问等功能。
4.找回密码不通过安全邮箱
5.安全邮箱和手机号绑定完全是形同虚设。

6.安全问题没有应急处理流程



起因:

以前注册的邮箱在去年的时候不用了,尝试更换未果,就更新了安全邮箱。上周服务器被挂马,折腾了一圈,今晚想登录腾讯云官网控制台突然提示密码错误。
使用绑定手机重置密码后发现重置密码链接发到了原登陆邮箱,而不是安全邮箱!!!

紧急联系电话客服,一番尝试得出以上结论,只能提交工单这种方式尝试:(提交工单内容,电话客服小伙子态度很好,却无能为力)


[腾讯科技] xxx: 1 )解绑原因:
2 )需要解绑的账号 ID:
3 )身份验证资料收集:1、已实名 a:个人认证:申请人手持身份证正+反面照片(申请人须与实名认证信息一致) 

(受理时间早上 8:00,在此期间不能冻结账号和限制登陆防护。)


我觉得这完全是匪夷所思的安全逻辑,邮箱作为登陆用户名为啥不可以修改?

那么安全邮箱起什么作用?

绑定了手机号又起什么作用?


我只能祈祷今晚那个邮箱主人不要……   


—————————–
提交的身份验证等敏感信息是提交在投诉建议的公共工单里面的,这一点无力吐槽,为了尽快处理安全就不提了…
然后,早上8:50发现腾讯云回访电话075533216425被移动高频骚扰电话防护拦截了,

我刚刚又打回 腾讯云客服电话95716,经过漫长等待,客服建议我再次提交投诉建议的工单…吐血

好吧,现在还是等待……

这算不算腾讯云漏洞,腾讯云安全隐患,业务逻辑混乱,信息安全淡薄呢?

—————————–

二更:2019-08-11 14:17:31

最新进展,相关客服联系了我好几次,就是非要我补充手持身份证照片正反面的照片(必须要正面和反面身份证照片,问题是我管局备案都没提交过反面身份证信息,证明自己太难了)… 

退而求其次,我要求先冻结登陆功能,然后刚才工单客服电话询问了几乎所有能询问的敏感信息了(注册时间,手机号,备案信息,安全邮箱,服务器区域,域名),然后确认通过,先暂停登陆了,后续再说吧。 

我就有个疑问了,折腾十几个小时了,难道上面这些信息还不能确认本人操作?非要手持身份证正+反面照片,我还提议采用当时实名认证的微信关联授权验证啥的也不同意。 

总之,这是真安全的系统,你们辛苦了,大家周末愉快……


版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:吐槽:发现腾讯云安全缺失,重大安全逻辑漏洞,账户不能修改
喜欢 (0)