央視網|中國網絡電視臺|網站地圖
客服設為首頁
登錄

中國網絡電視臺 > 新聞臺 > 新聞中心 >

傻瓜級漏洞威脅兩億用戶 聯通只談修復不提補償

發佈時間:2012年02月25日 18:40 | 進入復興論壇 | 來源:中新網 | 手機看視頻


評分
意見反饋 意見反饋 頂 踩 收藏 收藏
channelId 1 1 1
壟!-- /8962/web_cntv/dicengye_huazhonghua01 -->

更多 今日話題

壟!-- /8962/web_cntv/dicengye_huazhonghua02 -->

更多 24小時排行榜

壟!-- /8962/web_cntv/dicengye_huazhonghua03 -->

  中新網2月23日電綜合報道,近日,有黑客向媒體爆料稱中國聯通10010客服系統存在巨大漏洞,而這個漏洞的利用門檻極低,且能造成非常巨大的影響。更有網友曬出利用該漏洞自行發佈來源為“10010”的短信息。

  對於一家擁有超過2億用戶的運營商來説,如此漏洞所造成的影響可想而知。但聯通方面對此的反應卻顯得不緊不慢,直到漏洞被曝出近一週後,中國聯通才在昨日下午通過聲明稱已經修復10010短信平臺,並已向公安機關報案。

  “傻瓜”級漏洞威脅超兩億聯通用戶

  據《每日經濟新聞》報道,2月14日,一位網名為“zazaz”的黑客在國內安全問題反饋平臺烏雲上提交漏洞,稱中國聯通客服系統存安全隱患,網友可利用中國聯通客服號碼“10010”給任意聯通號碼發自定義短信。

  “zazaz”表示,該漏洞的利用門檻兒非常低,並隨著在烏雲平臺公佈後,已經有部分用戶用於娛樂。但若被不法分子利用進行詐騙,將會帶來巨大的財産損失。“zazaz”還表示,如果在短信後面附上危險鏈結,用戶一旦點擊,鏈結就可以下載木馬,綁定SP業務定制,甚至結合WAP漏洞獲取用戶手機瀏覽器裏的SID(安全標識符,是標識用戶、組和計算機賬戶的唯一的號碼)。“為什麼一個傻瓜漏洞,聯通自己沒發現?”互聯網資深觀察家丁道師感嘆,如果被不法分子利用加以詐騙的話,後果將會怎樣?”

  北京郵電大學教授曾劍秋認為:“首先黑客可以利用平臺進行詐騙,或者是發送一些垃圾短信甚至黃色短信都可能,第二個是利用這個平臺發短信對運營企業可能肯定是有傷害的,第三方面正常的用戶發送短信的公平性受到了損害。”

  令據中國聯通最新數據顯示,其3G用戶已增至4306.9萬戶,2G用戶接近1.6億戶。這意味著至少超過2億的聯通用戶都有可能因此而遭受損失。

  聯通回應只説修復不提補償反應遲緩再引質疑

  昨天下午,中國聯通通過官方微博發佈聲明,已在“獲悉信息後第一時間對平臺進行了修復”。但中新網IT頻道記者在登陸“烏雲”後發現,該漏洞遞交當天“烏雲”已通知中國聯通。但聯通方面一直未進行修復。該網站信息還顯示,直到2月19日,“廠商已經主動忽略漏洞,細節向公眾公開”。直到21日修復完畢,已經經過了一週。如此“傻瓜”但影響巨大的漏洞,讓聯通花費了一週時間,也暴露出聯通不僅存在安全漏洞,更存在管理漏洞。

  公共學者丁兆林就此表示:“按道理來説做壞事的黑客就是一兩個人,但是聯通如此大的一個公司,這麼強大的實力,如果是一兩個幹壞事的人都不能夠對付的話,那麼它如何能夠給這麼多客戶給提供有保障的服務,怎麼能讓客戶信任他。我覺得我們很多電信機構之所以出現這樣的漏洞,絕不是因為他們沒有實力堵住漏洞,而是它管理的責任心的問題和管理系統的問題。”

  此外,聲明中還稱10010短信平臺是為公眾用戶提供服務的基礎電信平臺,受法律保護,任何攻擊此類平臺的行為都屬違法,還表示已著手就此事向公安部門報案,並向用戶表示歉意。但中國聯通並未就該漏洞造成的影響進行表態,也未對如何補償用戶可能因此而造成的損失進行明確表述。

  中新網IT頻道將持續關注此事件。

熱詞:

  • 傻瓜
  • 下載木馬
  • 安全標識符
  • 聯通客服
  • 聯通用戶
  • 用戶提供
  • 用戶發送
  • 10010
  • zazaz
  • 烏雲