[情報] 扭蛋忘記電話協助查詢

看板 MayDay
作者 a29174332 (BigAnna)
時間 2023-12-30 16:27:16
留言 96則留言 (57推 0噓 39→)

17:38再更新 相信音樂真的有駐版人員,相關個資封包全部被修掉了 不過你們又把舊的後門打開了XD 如果找不到電話號碼的板友可以趁現在快查 再次修掉之後估計就沒辦法了 ======================================================== 17:07更新 這個洞被修掉了,大家可以回家了 如果確定自己的電話是正確的但是查詢不到,請在你的電話後面加上%20試試看 因為這支報名程式在撈資料庫的時候不會把空白去除 若你當初報名有誤按空格的話就會必須輸入%20才能查詢到 供各位參考 相音人員如果有看到這篇的話,希望你們在query的時候不要把不必要的data拉進來 我甚至能看到信用卡號前六碼加上後四碼+一堆我的報名個資 另外在比對user的手機的時候也trim一下吧,太多人都是因為空格而查詢不到 禮拜六工程師還駐板加班辛苦了 ========================================================= 剛剛看到臉書及ptt有許多人無法查詢扭蛋紀錄 本人剛好是資訊相關科系,職業病犯了 爬了一下扭蛋頁面的運作方式,發現有後門沒關可以查到電話 因此寫了一個陽春的網站協助大家查詢,網址如下: https://imbiganna.github.io/mayday.html 介面非常陽春,只需要選日期及訂單編號即可查到電話號碼 再透過查到的電話號碼至相信音樂網站查詢即可 本站不會搜集各位的任何資料,相關程式碼也開源於下方Github Repo中 https://github.com/imbiganna/imbiganna.github.io 若有疑慮請不要使用 希望能幫助各位版友找回屬於自己的扭蛋 -- 沒錯,相信音樂的門只關了一半,而且也完全沒公告,資安角度看瞎到不行 正解,而且query出來的不只是電話而已,剩下的就不多說了,只能說這個網站完全沒有 任何資安可言 其實這個洞還是需要有正確的日期+訂單編號兩者同時匹配上才能夠找出來 因此除非暴力解或是運氣很好剛好猜到,否則還是不會找到電話號碼的 螢光棒App倒是不用擔心,就是BLE協定而已,沒什麼個資問題,可以放心 大家可以回家了,相信音樂修掉了,看來相音還是有駐板人員在XD
K大趁現在漏洞又開,先用我的網站趕快找回自己的扭蛋吧 K大你不介意的話可以站內我日期+訂單編號,我幫你試試看 現在會Network Error超正常,因為相音工程師把正確API URL指去localhost了 我現在懷疑工程師是不是當大學生專題在做了... 有好好寫測試的話根本不該發生這種低級錯誤,在正式環境發布成localhost真的超瞎
若有板友是明天12/31場次,但是登不進去扭蛋系統的請站內我訂單編號 我可以協助你查詢,這次的方法比較偏我就不公開了 暫時僅幫忙12/31的,其餘日期請先找相信音樂優先
※ 批踢踢實業坊(ptt.cc), 來自: 36.232.81.51 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/MayDay/M.1703924838.A.6D2.html

ryan890812: 欸不是OAO 加上電話欄位不就是為了避免被有心人士亂按 12/30 16:30

ryan890812: 兌換嘛OAO 結果是可以被查出來的嘛OAAAAAAO 12/30 16:30

ryan890812: 我剛剛也看了一下 直接call api就可以 資安到底在幹嘛 12/30 16:33

Yshing1206: 多事之秋演唱會在即,所以扭蛋之亂2.0我本不想再罵, 12/30 16:38

Yshing1206: 但相信音樂真的是(怒怒怒! 12/30 16:38

Yshing1206: 這公司擁有人類平均智商的到底有幾個? 12/30 16:39

ryan890812: 我看到json了...細思極恐所有資料都可以query到欸 12/30 16:40

riss: 太搞笑了,該慶幸自己沒有參戰嗎 12/30 16:41

weitn29: 好唷~所以有心人要撈到所有資料,個資就外洩了? 12/30 16:43

Yshing1206: 你相信音樂TMD快改啊!糙! 12/30 16:44

sophymayday: 居然! 相信音樂有在保護歌迷資料嗎? 太扯了吧! 12/30 16:44

kk2245514: 這個個資外洩…… 12/30 16:45

sophymayday: 剛剛另篇看有人推文擔心螢光棒app安全不用,我還想 12/30 16:45

sophymayday: 說應該不會吧,沒想到相信音樂真的不能讓人信任欸 12/30 16:45

ryan890812: 我看懂原理了== 在SearchResult的網頁相因自己就這樣 12/30 16:46

sophymayday: 呼~原PO解釋完,我安心多了~ 12/30 16:48

hanji77: 這操作好猛... 12/30 16:56

sappheiros: 現在查不到了,"userPhone" is required。 12/30 16:59

ryan890812: 好 修掉惹 12/30 16:59

ryan890812: 但他回傳的json還是包了全部的資料 扯== 12/30 17:00

linjuju: 上了一堂資安,哈哈 12/30 17:19

withmusic: 和朋友的4連號現在有3張查不到,相音提供的手機後3碼也 12/30 17:20

withmusic: 不是我們原本登記的電話,現在也等不到回信(無奈 12/30 17:20

oscar8721184: 欸現在我怎麼都查不到…… 網站有修好嗎? 12/30 17:29

ryan890812: 樓上看要不要再寄信給客服並提供手機請他們回撥,說可 12/30 17:29

ryan890812: 以提供刷卡資訊給他們驗證訂單本人 12/30 17:30

wendy00558: https://i.imgur.com/MK8eEoE.jpg 電話欄位修掉了 12/30 17:35

wendy00558: 昨天寄信到現在 完全沒收到回信 很棒~ 12/30 17:35

sadaharu: 相信音樂真的讓人無法相信,跟取名一樣,缺什麼名字就 12/30 17:36

sadaharu: 叫什麼!! 12/30 17:36

karenaashin: 可是我進去查還是有電話欄位,而且還是查無,怎麼這 12/30 17:41

karenaashin: 樣 12/30 17:41

linjuju: 我也還是要電話 12/30 17:41

linjuju: 查了就顯示Network error 12/30 17:42

hsiuching: 我的也還要電話,而且跟l大出現一樣的訊息(我原本輸入 12/30 17:44

hsiuching: 電話訂單都正常)這麼多天了這系統還沒處理好... 12/30 17:45

yvette1107: 我用A大的網址查,居然出現未報名,可是登記隔天2筆訂 12/30 17:46

yvette1107: 單都有查到成功和扣款 12/30 17:46

hsiuching: 看來這扭蛋之亂沒完沒了... 12/30 17:47

sappheiros: 那個網站資料比對不到都是顯示未報名,但不一定真的沒 12/30 17:47

sappheiros: 報名。 12/30 17:47

karenaashin: 還是一樣啊!打了正確的電話還出現五迷知道了 12/30 17:47

oscar8721184: 感謝原Po大大 已經查到電話了 12/30 17:55

oscar8721184: 但那個網站還是顯示 Network error 超鳥…… 12/30 17:55

oscar8721184: 我的情況同樓上Karen大 打了正確資訊還是error哈 12/30 17:57

sappheiros: 應該是緊急改程式,上版沒改好,localhost也太妙。 12/30 18:07

wendy00558: 請求協助 查詢不到 https://i.imgur.com/LaaMuWI.jpg 12/30 18:50

minnie1218: 一開始扭蛋網站也是顯示錯誤,但剛剛再去試一次已經可 12/30 18:55

minnie1218: 以成功查詢到了~大家可以再去試看看噢! 12/30 18:55

wendy00558: https://i.imgur.com/WMKALHV.jpg 一樣失敗 12/30 18:59

axixi: 看到這篇文也去查了一下,結果跟樓上一樣... 12/30 19:01

zyyy151: 六點半的時候查一直出現五迷知道了,但剛剛再去查就有跑 12/30 19:03

zyyy151: 出報名序號了!希望明後天也可以順利跑出序號QQ 12/30 19:03

Yshing1206: 剛查我2筆都正常,我當時是直接用手動打電話號碼,不 12/30 19:05

Yshing1206: 是剪下貼上,不知這樣是不是有影響? 12/30 19:05

casekinkong: 查不到,都是電話錯誤啊… 12/30 19:05

Yshing1206: 當時剪下貼上的人,如果還是不行,之前是先存在哪裡 12/30 19:08

Yshing1206: 等報名的時候直接剪下貼上的,不如重演一次看看吧 12/30 19:08

zyyy151: 我報名時是複製貼上的,查詢目前都有出現序號!不知道問 12/30 19:08

zyyy151: 題出在哪…. 12/30 19:08

Yshing1206: 因為網站看起來修改過,也非常的陽春,我在想有沒有可 12/30 19:15

Yshing1206: 能記憶了當時的格式,所以現在用手打數字進去就不一 12/30 19:15

Yshing1206: 樣了XD 12/30 19:15

oscar8721184: 比較常見的就是複製貼上 沒注意到會多打空格 12/30 19:37

oscar8721184: 畢竟空格根本看不出來 12/30 19:37

wendy00558: 我是手動輸入的 12/30 19:38

oscar8721184: 反正電話號碼不對就試試加個%20 12/30 19:41

tips1222: 我手打手機號碼都查不到,前面加上一個空格就查詢到了 12/30 20:15

yanice427: 朋友七點查到,現在又查不到,到底相音在玩什麼QQ 12/30 20:44

mahoyazi: 我查詢全都是電話號碼錯誤,相音又不回信,明天該怎麼 12/30 20:56

mahoyazi: 辦呀… 12/30 20:56

Faoitohins: 有心人要撈應該可以撈? 台灣人個資真的很好賣的QQ 12/30 21:25

b731863888: 趕快把別人的扭蛋都給他對換掉,這樣相信才會重視, 12/30 21:32

b731863888: 超扯的資安,有跟沒有一樣,這個可以報案個資外洩吧 12/30 21:32

oscar8721184: 這次就要漲價使用線上付款 結果搞得問題一堆 唉 12/30 21:57

nicky0619: 三顆只查到兩顆…傻眼。 12/30 21:58

mevellous: 我付款完就沒查了 反正票在我手上 資料也都是我 不可能 12/30 22:05

mevellous: 現場查不到吧OAQ 12/30 22:05

sophymayday: 我覺得明天問題很多,他就會改成用截圖也可以XD 12/30 22:31

sappheiros: 用截圖機率不大,因為沒兌換要退款。除非又有其他配套 12/30 22:35

sappheiros: 措施。 12/30 22:35

b731863888: 反正資料外流把幾千人的都給兌換這樣就好了,讓大家 12/30 22:52

b731863888: 沒得抽很棒,爛死了的資安,由夠扯,個資外流都沒事 12/30 22:52

nicky0619: 剛剛再試查查不到的那顆,突然又查得到了 12/30 23:46

aishiteru816: 剛剛重新把自己報名成功的場次都查過 12/31 00:24

aishiteru816: 是都有出現資料的,目前查還是要輸入電話 12/31 00:24

smartfen: 慘了看不懂 12/31 01:01

f12345678900: 一個相關科系 就可以找出漏洞 這家公司真的很神奇w 12/31 04:34

axixi: 有點擔心今天扭蛋的狀況...@@ 12/31 08:51

jiunmoon: 可能會先網路塞車吧,那邊訊號也不怎好 12/31 11:54

loneblast: 推 12/31 14:05

mimzyzhu: 突然想到我刷完扭蛋就被盜刷3290遊戲幣了QQ不知道跟這 12/31 20:42

mimzyzhu: 次有沒有關係 12/31 20:42

a927mayday: 請問扭蛋時 12/31 22:31

a927mayday: 需要註冊時的電話嗎 12/31 22:31

wallyisme: 現場扭蛋服務區可以查電話號碼 01/01 01:21

您可能感興趣