中国电信再曝信息漏洞 过亿用户隐私皆可查询
近日,补天漏洞响应平台再次爆出中国电信某系统的重大漏洞。通过该漏洞可以查询上亿用户信息,涉及姓名、证件号、余额,并可以进行任意金额充值、销户、换卡等操作。10月29日上午10点,该漏洞已得到中国电信厂商确认。
这条消息可谓是重磅消息,让我们这些手机用户再一次为自己的个人身份信息或遭泄漏担忧、恐慌起来。联系到近些年来频发、高发的电信诈骗案件,我们有理由相信,很多用户的个人信息就是从这样的漏洞中被泄漏出去的。
“黑客发现这个漏洞的入口不是很难,比较低微的弱口令和越权操作就能进入这个系统。”补天漏洞响应平台负责人林伟向记者表示,“进到系统之后,黑客发现有很多高危漏洞,竟然可以看到全国电信用户的敏感信息。”
“由于拥有大量用户的敏感信息,所以喜欢挖掘它漏洞的人也比较多。”林伟补充道。林伟介绍,一般厂商会在确认系统漏洞当天完成修补并进行反馈。经了解,中国电信现已关停相关服务器。
随着管理的需要,更多的行业部门都在要求客户办理相关业务的时候提供公民的个人身份信息。但对于这些信息如何保证不被泄漏,收集个人信息的部门并没有给出任何承诺,如签订相关协议。在笔者看来,国家应该尽快出台相关法律法规,来保证个人信息安全。只有从法律层面定规矩,才能有效地保证公民人个人信息不被泄漏,从而也能减少相关案件的发生。
回顾2013年乌云发现电信惊天漏洞:
国内知名的安全反馈平台乌云(WooYun)最近发现,中国电信官网189。cn上存在极其严重的安全漏洞,攻击者能够利用它获取极为敏感的用户隐私,包括通话详细记录等全部无所遁形。两天之后,该漏洞就得到了最终确认。2月份,漏洞的细节逐步向白帽黑客和相关专家披露。随后公众也可以随便查询相关漏洞细节了。
这次涉及泄漏的信息实在过于敏感,实现方法又过于简单,猛一看确实不可思议。在漏洞报告中,乌云平台详细展示了如何利用这一漏洞获取用户隐私,包括查询基础业务情况、套餐使用量、通话详单(精确到秒)、流量信息、消费余额等等等等,甚至可以登陆客户端发短信(可短信轰炸),更可怕的是竟然还能直接远程操纵订购产品,随便给你开通个服务什么的。简单地说,电信用户将没有任何秘密可言。
