新浪通行證在線申訴找回密碼業務邏輯錯誤導致嚴重安全漏洞

漏洞描述：	可通過賬號申訴，找回任何沒有填寫“密保證件”的新浪通行證賬號。網易好像也可以這麼搞。
漏洞內容：	新浪郵件系統，新浪通行證等相關賬號安全，業務邏輯控制不嚴，如果任何賬號在沒有設置“密保證件”真實身份信息的情況下，可以通過申訴找回相應賬號的所有控制權，而“安全中心”中的“安全郵箱”“密保問題”均是擺設，均作廢。在申訴中，申訴工單視“上傳真實身份信息”爲最高身份權限認證，且不會驗證“註冊時間”“註冊地點”“曾經使用的密碼”這些均是擺設，所以只要你上傳相關真實身份信息，填寫接近的資料信息，你所申訴的賬號都可以找回來。該問題請新浪，網易郵箱的相關部門重視，我已經通過此方法驗證過10個不同場景的郵箱了，郵箱均能申訴或者通過密保找回