中国IDC圈2月22日报道:昨日(2月21日)有黑客爆料称中国联通客服系统存有巨大漏洞。一般情况下联通10010号码只发一些套餐使用情况和充值成功与否的提示短信,但昨日有网友利用该漏洞自行发布来源为“10010”的短信并进行了展示。此消息引发数家安全软件厂商发出“安全预警”,提示消费者警惕冒充联通客服的欺诈短信。

可随意发送“10010”来源短信

《每日经济新闻》记者昨日联系上了一位不愿意透露姓名的黑客,对方表示,一个名为“乌云”的安全网站于2月14日就提交了此漏洞。记者随后进入该网站,查找到了相关页面。

据了解,此漏洞的发现者为“zazaz”,中国联通该漏洞涉及其客服系统,即“中国联通可以用10010(中国联通客服号码)给任意联通号发自定义短信”,危害等级为“高”。

按照黑客提供的网址,可以打开一个带有数个输入框的页面。依次输入验证码、接收短信的联通手机号码、短信内容,并点击“提交查询内容”。提交后仅仅几秒钟,刚才填写的联通号码手机就能收到“10010”发来的短信。更为严重的是,任何人均能利用该漏洞向任何联通用户发送任何文字内容的短信,而且显示来源号码为“10010”。

“其实也就是联通的验证码机制问题。”上述不愿具名的黑客对记者表示,这个漏洞的利用门槛非常低,在“乌云”网站正式对外公布该漏洞后,随着消息的传播,“被部分用户用来娱乐”。

或被诈骗、木马利用

业内人士均认为,该漏洞背后存在的风险不可小视。“乌云”网站对此就给出警示“任何人都可以用官方10010给联通手机号发送短信,被用来短信诈骗,危害很大。”上述黑客还表示,如果在短信后面附上危险链接,用户一旦点击,链接就可以下载木马,绑定SP业务定制,甚至结合WAP漏洞获取用户手机浏览器里的SID(安全标识符,是标识用户、组和计算机账户的唯一的号码)。

《每日经济新闻》记者昨日晚间致电中国联通负责媒体联络的相关人士,对方表示已经关注到了此消息,相关技术部门已经对此漏洞进行了修补,并在进一步调查。

不过,根据“乌云”上的记录显示,早在2月14日,漏洞“细节已通知厂商并且等待厂商处理中”,但联通方面一直没有修复。该网站还显示,直到2月19日,“厂商已经主动忽略漏洞,细节向公众公开”。直到昨日修复完毕,时间已经过去了一个星期。

中国联通处理问题的速度由此遭到业内人士的质疑。据中国联通最新发布的2012年1月份主要运营数据,其3G用户已增至4306.9万户,2G用户接近1.6亿户。如此巨大的用户基数也加大了漏洞的风险。

“为什么一个傻瓜漏洞,联通自己没发现?如果被不法分子利用加以诈骗的话,后果将会怎样?”互联网资深观察家丁道师认为。记者试图了解漏洞带来的损失,上述中国联通相关人士表示技术部门目前并未就此进行反馈。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-02-26 10:21:01
云安全 黑客利用虚假谷歌 reCAPTCHA 隐藏恶意软件
美国时间 2 月 21 日,据网络安全公司 Sucuri 的博客称,其研究人员发现了冒充谷歌 reCAPTCHA 针对波兰银行用户网络钓鱼活动。 <详情>
2019-01-25 13:14:24
云安全 境外黑客扬言2月13日前后对我国多家政府网站实施攻击
新京报快讯 据首都网警微博消息,北京网络与信息安全信息通报中心通报,近日,境外某黑客组织扬言将对我国多家政府类网站开展网络攻击,并公布了我国多家政府网站域名信息 <详情>
2019-01-17 11:18:22
云技术 非法获利410万美元!黑客入侵SEC数据库
据美国财经媒体CNBC报道,美国联邦检察官将公布针对一个国际股票交易团伙的指控,他们入侵了美国证券交易委员会(SEC)的EDGAR公司文件提交系统。 <详情>
2019-01-07 09:52:45
云安全 又是万豪!黑客窃取超500万客户护照
北京时间1月6日消息,酒店连锁巨头喜达屋母公司万豪国际酒店日前表示,经过取证和分析团队缜密调查后发现,因其大数据泄露事件影响到的客户数量从5亿减少到了3.83亿,其中 <详情>
2019-01-02 11:16:24
云资讯 黑客利用谷歌云服务托管发送恶意电子邮件
日前,网络犯罪分子利用新的企业电子邮件活动(BEC)通过谷歌云存储服务向企业传播恶意软件。 <详情>