京东曝手机更改密码漏洞:他人账户随便看
- 发布时间:2014-08-01 11:04:00 来源:中国经济网 责任编辑:罗伯特
本文来源:IT之家
手机号作为互联网时代的“通行证”,往往会绑定很多账号,方便生活的同时也产生一些问题。可能很多人有过更换手机号的经历,停用之后,电信运营商把手机号回收重新出售的现象屡见不鲜,但这也带来了诸多个人信息安全隐患。
笔者最近就遇到了这类问题。笔者今年更换了手机号,新号码来自联通。在给账号更换手机号绑定时发现可以通过使用原有手机号获取短信验证码的方式来修改绑定手机,也可以通过直接验证京东账户支付密码(与登录密码不同)的方式进行修改,不过却没有解绑选项。
京东账户安全中心“手机验证”里仅提供“修改”按钮
在这个过程中笔者发现,所谓的“新手机号”在其上一任主人使用期间已绑定过他的京东账户,但是京东商城并未提供自行解绑的功能,因此无法将这个“新号码”与其之前绑定的京东账户进行解绑。
更换绑定手机号时发现已被绑定
此外笔者还意外的发现可以通过这个“新号码”登陆进其原主人的京东账户。方法很简单,登陆京东账户时选择忘记密码,通过手机号码找回,接收验证码,更改登陆密码即可。于是笔者就轻松地获得了号码原来主人的姓名、地址、交易记录等等个人信息。
利用现有手机号修改密码登入账号
可以登入手机号原持有人的京东账户,轻松获得交易信息、账户持有人的姓名、地址、电话
原持卡人交易信息
原持卡人个人信息
注:京东客服表示将会把该问题反馈给研发部门进行解决。
提醒广大用户注意个人用户信息和手机的安全。