當(dāng)用戶(hù)發(fā)生銀行卡盜刷事件時(shí)都會(huì)去找銀行理論，但答復(fù)無(wú)一例外都是用戶(hù)的責(zé)任。換句話(huà)說(shuō)，銀行永遠(yuǎn)都不會(huì)出現(xiàn)安全問(wèn)題，至少不會(huì)出現(xiàn)重大低級(jí)失誤，或是覆蓋所有用戶(hù)的影響。

但今天不聊盜刷，只聊如今的銀行產(chǎn)品與信息保護(hù)真的可靠么？當(dāng)各家銀行在互聯(lián)網(wǎng)飛速拓展業(yè)務(wù)的同時(shí)，是不是開(kāi)始忽視了什么。本次主角是民生銀行信用卡手機(jī)客戶(hù)端，當(dāng)烏云君看到這個(gè)案例的時(shí)候脊背發(fā)涼，不僅是我正使用這款產(chǎn)品，還有我竟然從來(lái)就沒(méi)懷疑過(guò)它，所以當(dāng)它出現(xiàn)問(wèn)題時(shí)，小小的三觀有點(diǎn)崩塌。

　　民生銀行信用卡客戶(hù)端

上圖是用戶(hù)比較熟悉的民生銀行信用卡客戶(hù)端，但萬(wàn)萬(wàn)沒(méi)想到這個(gè)漂亮的界面下竟然存在一個(gè)非常低級(jí)的安全漏洞（就在咱們眼皮底下），而它幾乎可以影響所有民生信用卡用戶(hù)。

為了證明這個(gè)漏洞影響，白帽子找了一些信用卡照片，提取卡號(hào)（說(shuō)明完全隨機(jī)挑選的）

　　為什么這些圖片會(huì)被發(fā)到網(wǎng)上…

比如 6226000001267*** 和 6226000003372***，誰(shuí)讓你們非得把自己信用卡照片往網(wǎng)上傳。接著打開(kāi)信用卡客戶(hù)端抓包

　　會(huì)有個(gè)更新個(gè)人信息的請(qǐng)求包

有個(gè)POST請(qǐng)求，這個(gè)請(qǐng)求提交的數(shù)據(jù)是自己的信用卡卡號(hào)，所以相信你已經(jīng)get到了，我們就是要把這個(gè)卡號(hào)換成其他人的。。。

竟然看到了這張信用卡所有人的姓名、消費(fèi)金額、消費(fèi)日期等信息（15年12月3號(hào)刷了213.11元），在換一個(gè)卡號(hào)試試

同樣查到了這張卡的所有人與最后消費(fèi)金額、時(shí)間等信息（15年12月1號(hào)刷了152.18元）。提升點(diǎn)難度，白帽子又在網(wǎng)上找到了一個(gè)民生銀行被盜刷用戶(hù)發(fā)出的截圖，雖然敏感內(nèi)容做了掩蓋處理

　　一張用戶(hù)信用卡被盜刷的登記表

放大信用卡，黑色好高端的樣子

　　得到卡號(hào)

用APP內(nèi)部的接口查詢(xún)一下，名字和消費(fèi)信息肯定也返回了，跟登記表中的姓確實(shí)是一的，15年12月4號(hào)消費(fèi)了5.02元。

接口可任意查詢(xún)對(duì)應(yīng)信用卡號(hào)的姓名與最后一次消費(fèi)記錄（還有一些信息類(lèi)字段），如果這個(gè)漏洞發(fā)生在互聯(lián)網(wǎng)企業(yè)產(chǎn)品中我不會(huì)覺(jué)得驚訝，但偏偏出在了我們新人并依賴(lài)的銀行產(chǎn)品上。在傳統(tǒng)企業(yè)進(jìn)行互聯(lián)網(wǎng)化后，更多的功能性接口、權(quán)限將會(huì)對(duì)任意一個(gè)互聯(lián)網(wǎng)用戶(hù)開(kāi)放，變得愈加不可控。

民生銀行對(duì)該漏洞非常重視，該漏洞于今年1月份報(bào)告后就得到了解決，用戶(hù)不會(huì)受到這個(gè)漏洞影響。對(duì)于銀行來(lái)說(shuō)，互聯(lián)網(wǎng)化后要積極關(guān)注互聯(lián)網(wǎng)產(chǎn)品經(jīng)常出現(xiàn)的問(wèn)題；對(duì)于咱用戶(hù)來(lái)說(shuō)，銀行卡號(hào)也是非常隱私的信息，不要輕易給予他人或傳到互聯(lián)網(wǎng)上，萬(wàn)一又出新漏洞了呢。