昨日（2月21日）有黑客爆料稱中國聯通客服系統存有巨大漏洞。一般情況下聯通10010號碼只發一些套餐使用情況和充值成功與否的提示短信，但昨日有網友利用該漏洞自行發佈來源為“10010”的短信並進行了展示。此消息引發數家安全軟體廠商發出“安全預警”，提示消費者警惕冒充聯通客服的欺詐短信。

　　可隨意發送“10010”來源短信

　　《每日經濟新聞》記者昨日聯絡上了一位不願意透露姓名的黑客，對方表示，一個名為“烏雲”的安全網站于2月14日就提交了此漏洞。記者隨後進入該網站，查找到了相關頁面。

　　據了解，此漏洞的發現者為“zazaz”，中國聯通該漏洞涉及其客服系統，即“中國聯通可以用10010（中國聯通客服號碼）給任意聯通號發自定義短信”，危害等級為“高”。

　　按照黑客提供的網址，可以打開一個帶有數個輸入框的頁面。依次輸入驗證碼、接收短信的聯通手機號碼、短信內容，並點擊“提交查詢內容”。提交後僅僅幾秒鐘，剛才填寫的聯通號碼手機就能收到“10010”發來的短信。更為嚴重的是，任何人均能利用該漏洞向任何聯通用戶發送任何文字內容的短信，而且顯示來源號碼為“10010”。

　　“其實也就是聯通的驗證碼機制問題。”上述不願具名的黑客對記者表示，這個漏洞的利用門檻非常低，在“烏雲”網站正式對外公佈該漏洞後，隨著消息的傳播，“被部分用戶用來娛樂”。

　　或被詐騙、木馬利用

　　業內人士均認為，該漏洞背後存在的風險不可小視。“烏雲”網站對此就給出警示“任何人都可以用官方10010給聯通手機號發送短信，被用來短信詐騙，危害很大。”上述黑客還表示，如果在短信後面附上危險鏈結，用戶一旦點擊，鏈結就可以下載木馬，綁定SP業務定制，甚至結合WAP漏洞獲取用戶手機瀏覽器裏的SID（安全標識符，是標識用戶、組和計算機賬戶的唯一的號碼）。

　　《每日經濟新聞》記者昨日晚間致電中國聯通負責媒體聯絡的相關人士，對方表示已經關注到了此消息，相關技術部門已經對此漏洞進行了修補，並在進一步調查。

　　不過，根據“烏雲”上的記錄顯示，早在2月14日，漏洞“細節已通知廠商並且等待廠商處理中”，但聯通方面一直沒有修復。該網站還顯示，直到2月19日，“廠商已經主動忽略漏洞，細節向公眾公開”。直到昨日修復完畢，時間已經過去了一個星期。

　　中國聯通處理問題的速度由此遭到業內人士的質疑。據中國聯通最新發佈的2012年1月份主要運營數據,其3G用戶已增至4306.9萬戶，2G用戶接近1.6億戶。如此巨大的用戶基數也加大了漏洞的風險。

　　“為什麼一個傻瓜漏洞，聯通自己沒發現？如果被不法分子利用加以詐騙的話，後果將會怎樣？”互聯網資深觀察家丁道師認為。記者試圖了解漏洞帶來的損失，上述中國聯通相關人士表示技術部門目前並未就此進行反饋。（吳文坤）