核心提示: 近日,中国电信再曝大漏洞,通过该漏洞可以查询上亿用户信息,涉及姓名、证件号、余额,并可以进行任意金额充值、销户、换卡等操作。10月29日上午,该漏洞已得到中国电信厂商确认。...
近日,中国电信再曝大漏洞,通过该漏洞可以查询上亿用户信息,涉及姓名、证件号、余额,并可以进行任意金额充值、销户、换卡等操作。10月29日上午,该漏洞已得到中国电信厂商确认。“黑客发现这个漏洞的入口不是很难,比较低微的弱口令和越权操作就能进入这个系统。”补天漏洞响应平台负责人林伟表示,“进到系统之后,黑客发现有很多高危漏洞,竟然可以看到全国电信用户的敏感信息。”
“由于拥有大量用户的敏感信息,所以喜欢挖掘它漏洞的人也比较多。”林伟补充道。
林伟介绍,一般厂商会在确认系统漏洞当天完成修补并进行反馈。经了解,中国电信现已关停相关服务器。
延伸
早在2013年3月,国内知名安全反馈平台乌云就曝出电信漏洞,中国电信官网189.cn上存在的安全漏洞,能被攻击者利用以获取极为敏感的用户隐私,包括通话详细记录等。
在漏洞报告中,乌云平台详细展示了如何利用这一漏洞获取用户隐私,包括查询基础业务情况、套餐使用量、通话详单(精确到秒)、流量信息、消费余额等等等等,甚至可以登陆客户端发短信(可短信轰炸),更可怕的是竟然还能直接远程操纵订购产品,随便给你开通个服务什么的。
简单地说,电信用户将没有任何秘密可言。
