综合报道,近日,有黑客向媒体爆料称中国联通10010客服系统存在巨大漏洞,而这个漏洞的利用门槛极低,且能造成非常巨大的影响。更有网友晒出利用该漏洞自行发布来源为“10010”的短信息。
对于一家拥有超过2亿用户的运营商来说,如此漏洞所造成的影响可想而知。但联通方面对此的反应却显得不紧不慢,直到漏洞被曝出近一周后,中国联通才在昨日下午通过声明称已经修复10010短信平台,并已向公安机关报案。
“傻瓜”级漏洞威胁超两亿联通用户
据《每日经济新闻》报道,2月14日,一位网名为“zazaz”的黑客在国内安全问题反馈平台乌云上提交漏洞,称中国联通客服系统存安全隐患,网友可利用中国联通客服号码“10010”给任意联通号码发自定义短信。
“zazaz”表示,该漏洞的利用门槛儿非常低,并随着在乌云平台公布后,已经有部分用户用于娱乐。但若被不法分子利用进行诈骗,将会带来巨大的财产损失。“zazaz”还表示,如果在短信后面附上危险链接,用户一旦点击,链接就可以下载木马,绑定SP业务定制,甚至结合WAP漏洞获取用户手机浏览器里的SID(安全标识符,是标识用户、组和计算机账户的唯一的号码)。“为什么一个傻瓜漏洞,联通自己没发现?”互联网资深观察家丁道师感叹,如果被不法分子利用加以诈骗的话,后果将会怎样?”
北京邮电大学教授曾剑秋认为:“首先黑客可以利用平台进行诈骗,或者是发送一些垃圾短信甚至黄色短信都可能,第二个是利用这个平台发短信对运营企业可能肯定是有伤害的,第三方面正常的用户发送短信的公平性受到了损害。”
令据中国联通最新数据显示,其3G用户已增至4306.9万户,2G用户接近1.6亿户。这意味着至少超过2亿的联通用户都有可能因此而遭受损失。
联通回应只说修复不提补偿 反应迟缓再引质疑
昨天下午,中国联通通过官方微博发布声明,已在“获悉信息后第一时间对平台进行了修复”。但中新网IT频道记者在登陆“乌云”后发现,该漏洞递交当天“乌云”已通知中国联通。但联通方面一直未进行修复。该网站信息还显示,直到2月19日,“厂商已经主动忽略漏洞,细节向公众公开”。直到21日修复完毕,已经经过了一周。如此“傻瓜”但影响巨大的漏洞,让联通花费了一周时间,也暴露出联通不仅存在安全漏洞,更存在管理漏洞。
公共学者丁兆林就此表示:“按道理来说做坏事的黑客就是一两个人,但是联通如此大的一个公司,这么强大的实力,如果是一两个干坏事的人都不能够对付的话,那么它如何能够给这么多客户给提供有保障的服务,怎么能让客户信任他。我觉得我们很多电信机构之所以出现这样的漏洞,绝不是因为他们没有实力堵住漏洞,而是它管理的责任心的问题和管理系统的问题。”
此外,声明中还称10010短信平台是为公众用户提供服务的基础电信平台,受法律保护,任何攻击此类平台的行为都属违法,还表示已着手就此事向公安部门报案,并向用户表示歉意。但中国联通并未就该漏洞造成的影响进行表态,也未对如何补偿用户可能因此而造成的损失进行明确表述。
