安全问题反馈平台乌云(wooyun.org)于1月4日通过微博发布消息称，万网存在安全漏洞可导致注册域名被恶意劫持。

乌云在微博中表示，“近期万网被证明存在安全漏洞，恶意用户可以任意劫持在万网注册的域名，在万网彻底修复漏洞之前建议各位站长和企业添加对域名的监控”。

       实际上，乌云就是这一漏洞的受害者，其域名在数日之前被劫持，并于1月3日将该漏洞通知了万网。万网公司次日便修复了该漏洞，且公开承认存在该漏洞，以下是万网官方回应：

       就WooYun网反馈的信息安全问题，万网已于今日上午排查并解决完毕，经进一步核查到目前为止未发现其他客户存在相同问题，请广大用户放心。在此非常感谢WooYun平台的及时反馈，也对此给wooyun带来的影响深表歉意！万网将继续完善会员安全体系为广大用户提供更加安全的服务！

       2月17日，WooYun平台向公众公开了该漏洞的细节，主要内容可总结为：

      1.验证码无效漏洞导致爆破任意账号名或手机号；

      2.弱验证码导致爆破手机号的密码找回验证；

      3.缺失的身份认证导致绑定别人的账号到自己的手机；

      4.万网客服允许匿名获取他人的敏感信息如网站对应用户ID等。

以下是该漏洞的详细描述，以及利用该漏洞盗取万网注册账户信息过程的详细描述：

http://www.wooyun.org/bugs/wooyun-2013-016896#0-tsina-1-27374-397232819ff9a47a7b7e80a40613cfe1