子彈短信上線(xiàn)10天＂漏洞百出＂ 還是個(gè)蹣跚學(xué)步的孩童(2)

　　被泄露的用戶(hù)信息除了用戶(hù)的子彈短信ID及網(wǎng)名之外，還可以看到其所在地、對應的微博賬號、微信號、QQ賬號、Smartisan賬號等一系列賬號信息，且均為明文顯示，未做加密處理。

　　一位互聯(lián)網(wǎng)安全領(lǐng)域的人士對記者表示，這是由于服務(wù)端存儲了用戶(hù)的通訊明文內容，可以通過(guò)鏈接的方式訪(fǎng)問(wèn)，對鏈接又沒(méi)有做權限控制。

　　“說(shuō)白了就是最簡(jiǎn)單的越權，比如你正常訪(fǎng)問(wèn)一個(gè)鏈接看到自己的信息，把鏈接對應的編號改一下，卻看到了別人的信息，這種漏洞很容易被人利用，影響卻很大。”該人士稱(chēng)。

　　此外，也有用戶(hù)發(fā)現，子彈短信在陌生人添加好友時(shí)，可以看到對方的手機號，存在巨大的安全隱患。

　　相關(guān)消息在此后幾天一直未受到人們關(guān)注。直到8月27號，子彈短信完成1.5億元融資之后，關(guān)于其泄露用戶(hù)隱私的事情才最終發(fā)酵出來(lái)。

　　雖然子彈短信于23號就在微博上對此事做出了回應，但大家好像并沒(méi)有注意到這個(gè)聲明。

　　這使得子彈短信不得不于8月29號再次發(fā)出官方聲明，稱(chēng)產(chǎn)品自8月20日正式上線(xiàn)后，由于web端接口設計疏漏，確實(shí)出現過(guò)web端顯示明文手機號和自增ID的問(wèn)題。團隊于21日晚間發(fā)現相關(guān)問(wèn)題后，已立刻停止了web端服務(wù)，產(chǎn)品也已于23日重新上線(xiàn)。

　　另外，由于接口設置有限頻功能，第三方無(wú)法實(shí)現拖庫，因此并不能將用戶(hù)信息批量導出去。關(guān)于添加陌生人好友時(shí)，可以看到對方手機號的問(wèn)題也已解決。

　　上述互聯(lián)網(wǎng)安全領(lǐng)域人士對記者稱(chēng)，子彈短信web端的漏洞，可以通過(guò)越權的方式遍歷（沿著(zhù)某條搜索路線(xiàn)，依次對樹(shù)中每個(gè)結點(diǎn)均做一次且僅做一次訪(fǎng)問(wèn)），但會(huì )留下瀏覽記錄，廠(chǎng)家觀(guān)察下日志就會(huì )發(fā)現。不過(guò)既然官方進(jìn)行了設置，應該也就沒(méi)有什么問(wèn)題了。

　　隨后，記者嘗試通過(guò)源代碼查看子彈短信的用戶(hù)注冊信息，發(fā)現已無(wú)法打開(kāi)相關(guān)網(wǎng)站。

原文轉自：https://tech.sina.com.cn/i/2018-08-31/doc-ihiixyeu1649443.shtml