一个手机号即可查到账户资金变动信息 这个漏洞有多大？

10月24日，乌云白帽子猪猪侠曝光一个足够吸引眼球的漏洞，根据描述称，某第三方漏洞导致只需一个手机号即可查到你的账户资金变动信息（包括余额、工资、资金明细、转账验证码等）。

涉及的厂商是联动优势，现已得到厂商确认，不过，根据乌云平台规则，目前漏洞细节也仅向厂商公开（这也是保护漏洞不被恶意使用）。

对此漏洞，CNVD（国家信息安全漏洞共享平台）的回应是：

CNVD确认所述第一层技术风险点。对于威胁情况，CNVD评估认为属联动优势某业务系统存储的银行卡交易提醒短信日志存在风险，并不涉及实时在线查询接口，不构成对相关用户银行卡业务的在线查询权限，因经风险可定性为历史交易数据存在风险。

已经转由CNCERT向网站管理方联动优势公司直接通报（首先通过其公开联系渠道），同时同步向网站管理单位关联资方——中国移动集团公司通报。

根据CNCERT给出的公开说明，联动优势是中国移动、中国银联的合资公司，这个公司有一个“银行信息通知系统”，银行给用户通知信息都经过这里再推送出去，这个公司的这个系统把所有的通知信息都实时记录下来了。

所以，根据CNVD的评估，此漏洞主要涉及银行卡交易短信日志风险。

业内人士评论称，看描述应该是对已经发了的短信的查看，不是实时账务。看不到详细情况，只能大概猜测下：

能看到下行短信，分为两种情况，能看到历史短信或者当天的也能看到。只能看到历史短信的话，直接危害不大，毕竟当天可能还做交易，验证码也已经过期。但是被人了解到余额有可能会有针对性诈骗之类，毕竟是可以拿到手机号和卡片尾号后四位的数据，能报出卡余额来会让人比较相信。如果和历史积累下来的数据例如各类社工库匹配下危害可能更大。

能看到当天的短信，除了诈骗之类外，能实时看到验证码。应该不会被强制开通快捷支付然后转走钱，因为银联和银行系快捷支付开通的时候都要验证卡密码，这个和普通第三方支付不一样。但是已经开了的不好说，不知道是不是从这个渠道下行短信的。

目前漏洞已交由cncert国家互联网应急中心处理，ZD至顶网也会持续跟踪漏洞详细及通报结果。