【IT商業(yè)新聞網綜合報道】(記者 艾米)有黑客爆料稱中國聯(lián)通客服系統(tǒng)存有巨大漏洞。一般情況下聯(lián)通10010號碼只發(fā)一些套餐使用情況和充值成功與否的提示短信,但昨日有網友利用該漏洞自行發(fā)布來源為“10010”的短信并進行了展示。此消息引發(fā)數家安全軟件廠商發(fā)出“安全預警”,提示消費者警惕冒充聯(lián)通客服的欺詐短信。
這個問題是網友在“烏云”安全漏洞網站發(fā)現(xiàn),該漏洞的發(fā)布者為“zazaz”,于2月14日就提交了此漏洞,稱中國聯(lián)通該漏洞涉及其客服系統(tǒng),即“中國聯(lián)通可以用10010(中國聯(lián)通客服號碼)給任意聯(lián)通號發(fā)自定義短信”,危害等級為“高”。
按照黑客提供的網址,可以打開一個帶有數個輸入框的頁面。依次輸入驗證碼、接收短信的聯(lián)通手機號碼、短信內容,并點擊“提交查詢內容”。提交后僅僅幾秒鐘,剛才填寫的聯(lián)通號碼手機就能收到“10010”發(fā)來的短信。更為嚴重的是,任何人均能利用該漏洞向任何聯(lián)通用戶發(fā)送任何文字內容的短信,而且顯示來源號碼為“10010”。
“其實也就是聯(lián)通的驗證碼機制問題。”不愿具名的黑客對記者表示,這個漏洞的利用門檻非常低,在“烏云”網站正式對外公布該漏洞后,隨著消息的傳播,“被部分用戶用來娛樂”。
業(yè)內人士均認為,該漏洞背后存在的風險不可小視。“烏云”網站對此就給出警示“任何人都可以用官方10010給聯(lián)通手機號發(fā)送短信,被用來短信詐騙,危害很大。”上述黑客還表示,如果在短信后面附上危險鏈接,用戶一旦點擊,鏈接就可以下載木馬,綁定SP業(yè)務定制,甚至結合WAP漏洞獲取用戶手機瀏覽器里的SID(安全標識符,是標識用戶、組和計算機賬戶的唯一的號碼)。
《每日經濟新聞》記者昨日晚間致電中國聯(lián)通負責媒體聯(lián)絡的相關人士,對方表示已經關注到了此消息,相關技術部門已經對此漏洞進行了修補,并在進一步調查。
不過,根據“烏云”上的記錄顯示,早在2月14日,漏洞“細節(jié)已通知廠商并且等待廠商處理中”,但聯(lián)通方面一直沒有修復。該網站還顯示,直到2月19日,“廠商已經主動忽略漏洞,細節(jié)向公眾公開”。直到昨日修復完畢,時間已經過去了一個星期。
中國聯(lián)通處理問題的速度由此遭到業(yè)內人士的質疑。據中國聯(lián)通最新發(fā)布的2012年1月份主要運營數據,其3G用戶已增至4306.9萬戶,2G用戶接近1.6億戶。如此巨大的用戶基數也加大了漏洞的風險。
“為什么一個傻瓜漏洞,聯(lián)通自己沒發(fā)現(xiàn)?如果被不法分子利用加以詐騙的話,后果將會怎樣?”互聯(lián)網資深觀察家丁道師認為。記者試圖了解漏洞帶來的損失,上述中國聯(lián)通相關人士表示技術部門目前并未就此進行反饋。
今天下午,中國聯(lián)通在聲明中稱,該公司已全面修復被黑客攻擊的10010短信平臺。10010短信平臺是運營商為公眾用戶提供服務的基礎電信平臺,受法律保護,任何攻擊此類平臺的行為都是違法行為。目前,中國聯(lián)通已著手就本次事件向公安部門報案。
推薦閱讀
原中國移動副總裁李慧鏑將任職中國移動集團公司副總經理。 記者近日獲悉,原中國移動副總裁李慧鏑將任職中國移動集團公司副總經理。 據了解,李慧鏑的工作背景很專業(yè),先后擔任過聯(lián)想手機的副總裁、UT斯達康擔任副總>>>詳細閱讀
本文標題:黑客曝中國聯(lián)通客服系統(tǒng)可隨意發(fā)送10010短信 回應稱已修復
地址:http://www.tjyalang.cn/a/01/20121229/101911.html
網友點評
精彩導讀
科技快報
品牌展示