漏洞威脅兩億用戶 聯(lián)通只談修復(fù)不提補(bǔ)償

綜合報(bào)道，近日，有黑客向媒體爆料稱中國(guó)聯(lián)通10010客服系統(tǒng)存在巨大漏洞，而這個(gè)漏洞的利用門檻極低，且能造成非常巨大的影響。更有網(wǎng)友曬出利用該漏洞自行發(fā)布來源為“10010”的短信息。

對(duì)于一家擁有超過2億用戶的運(yùn)營(yíng)商來說，如此漏洞所造成的影響可想而知。但聯(lián)通方面對(duì)此的反應(yīng)卻顯得不緊不慢，直到漏洞被曝出近一周后，中國(guó)聯(lián)通才在昨日下午通過聲明稱已經(jīng)修復(fù)10010短信平臺(tái)，并已向公安機(jī)關(guān)報(bào)案。

“傻瓜”級(jí)漏洞威脅超兩億聯(lián)通用戶

據(jù)《每日經(jīng)濟(jì)新聞》報(bào)道，2月14日，一位網(wǎng)名為“zazaz”的黑客在國(guó)內(nèi)安全問題反饋平臺(tái)烏云上提交漏洞，稱中國(guó)聯(lián)通客服系統(tǒng)存安全隱患，網(wǎng)友可利用中國(guó)聯(lián)通客服號(hào)碼“10010”給任意聯(lián)通號(hào)碼發(fā)自定義短信。

“zazaz”表示，該漏洞的利用門檻兒非常低，并隨著在烏云平臺(tái)公布后，已經(jīng)有部分用戶用于娛樂。但若被不法分子利用進(jìn)行詐騙，將會(huì)帶來巨大的財(cái)產(chǎn)損失。“zazaz”還表示，如果在短信后面附上危險(xiǎn)鏈接，用戶一旦點(diǎn)擊，鏈接就可以下載木馬，綁定SP業(yè)務(wù)定制，甚至結(jié)合WAP漏洞獲取用戶手機(jī)瀏覽器里的SID(安全標(biāo)識(shí)符，是標(biāo)識(shí)用戶、組和計(jì)算機(jī)賬戶的唯一的號(hào)碼)。“為什么一個(gè)傻瓜漏洞，聯(lián)通自己沒發(fā)現(xiàn)?”互聯(lián)網(wǎng)資深觀察家丁道師感嘆，如果被不法分子利用加以詐騙的話，后果將會(huì)怎樣?”

北京郵電大學(xué)教授曾劍秋認(rèn)為：“首先黑客可以利用平臺(tái)進(jìn)行詐騙，或者是發(fā)送一些垃圾短信甚至黃色短信都可能，第二個(gè)是利用這個(gè)平臺(tái)發(fā)短信對(duì)運(yùn)營(yíng)企業(yè)可能肯定是有傷害的，第三方面正常的用戶發(fā)送短信的公平性受到了損害。”

令據(jù)中國(guó)聯(lián)通最新數(shù)據(jù)顯示，其3G用戶已增至4306.9萬戶，2G用戶接近1.6億戶。這意味著至少超過2億的聯(lián)通用戶都有可能因此而遭受損失。

聯(lián)通回應(yīng)只說修復(fù)不提補(bǔ)償 反應(yīng)遲緩再引質(zhì)疑

昨天下午，中國(guó)聯(lián)通通過官方微博發(fā)布聲明，已在“獲悉信息后第一時(shí)間對(duì)平臺(tái)進(jìn)行了修復(fù)”。但中新網(wǎng)IT頻道記者在登陸“烏云”后發(fā)現(xiàn)，該漏洞遞交當(dāng)天“烏云”已通知中國(guó)聯(lián)通。但聯(lián)通方面一直未進(jìn)行修復(fù)。該網(wǎng)站信息還顯示，直到2月19日，“廠商已經(jīng)主動(dòng)忽略漏洞，細(xì)節(jié)向公眾公開”。直到21日修復(fù)完畢，已經(jīng)經(jīng)過了一周。如此“傻瓜”但影響巨大的漏洞，讓聯(lián)通花費(fèi)了一周時(shí)間，也暴露出聯(lián)通不僅存在安全漏洞，更存在管理漏洞。

公共學(xué)者丁兆林就此表示：“按道理來說做壞事的黑客就是一兩個(gè)人，但是聯(lián)通如此大的一個(gè)公司，這么強(qiáng)大的實(shí)力，如果是一兩個(gè)干壞事的人都不能夠?qū)Ω兜脑?，那么它如何能夠給這么多客戶給提供有保障的服務(wù)，怎么能讓客戶信任他。我覺得我們很多電信機(jī)構(gòu)之所以出現(xiàn)這樣的漏洞，絕不是因?yàn)樗麄儧]有實(shí)力堵住漏洞，而是它管理的責(zé)任心的問題和管理系統(tǒng)的問題。”

此外，聲明中還稱10010短信平臺(tái)是為公眾用戶提供服務(wù)的基礎(chǔ)電信平臺(tái)，受法律保護(hù)，任何攻擊此類平臺(tái)的行為都屬違法，還表示已著手就此事向公安部門報(bào)案，并向用戶表示歉意。但中國(guó)聯(lián)通并未就該漏洞造成的影響進(jìn)行表態(tài)，也未對(duì)如何補(bǔ)償用戶可能因此而造成的損失進(jìn)行明確表述。