京東曝手機更改密碼漏洞:他人賬戶隨便看
- 發佈時間:2014-08-01 11:04:00 來源:中國經濟網 責任編輯:羅伯特
本文來源:IT之家
手機號作為網際網路時代的“通行證”,往往會綁定很多賬號,方便生活的同時也産生一些問題。可能很多人有過更換手機號的經歷,停用之後,電信運營商把手機號回收重新出售的現象屢見不鮮,但這也帶來了諸多個人資訊安全隱患。
筆者最近就遇到了這類問題。筆者今年更換了手機號,新號碼來自聯通。在給賬號更換手機號綁定時發現可以通過使用原有手機號獲取短信驗證碼的方式來修改綁定手機,也可以通過直接驗證京東賬戶支付密碼(與登錄密碼不同)的方式進行修改,不過卻沒有解綁選項。
京東賬戶安全中心“手機驗證”裏僅提供“修改”按鈕
在這個過程中筆者發現,所謂的“新手機號”在其上一任主人使用期間已綁定過他的京東賬戶,但是京東商城並未提供自行解綁的功能,因此無法將這個“新號碼”與其之前綁定的京東賬戶進行解綁。
更換綁定手機號時發現已被綁定
此外筆者還意外的發現可以通過這個“新號碼”登陸進其原主人的京東賬戶。方法很簡單,登陸京東賬戶時選擇忘記密碼,通過手機號碼找回,接收驗證碼,更改登陸密碼即可。於是筆者就輕鬆地獲得了號碼原來主人的姓名、地址、交易記錄等等個人資訊。
利用現有手機號修改密碼登入賬號
可以登入手機號原持有人的京東賬戶,輕鬆獲得交易資訊、賬戶持有人的姓名、地址、電話
原持卡人交易資訊
原持卡人個人資訊
注:京東客服表示將會把該問題反饋給研發部門進行解決。
提醒廣大用戶注意個人用戶資訊和手機的安全。