中国电信两曝重大漏洞 上亿用户隐私一览无余
编辑:ruan18650468816 成考报名 发布时间:10-31 阅读:
近日,补天漏洞响应平台再次爆出中国电信某系统的重大漏洞。通过该漏洞可以查询上亿用户信息,涉及姓名、证件号、余额,并可以进行任意金额充值、销户、换卡等操作。10月29日上午10点,该漏洞已得到中国电信厂商确认。“黑客发现这个漏洞的入口不是很难,比较低微的弱口令和越权操作就能进入这个系统。”补天漏洞响应平台负责人林伟向21世纪经济报道记者表示,“进到系统之后黑客发现有很多高危漏洞,竟然可以看到全国电信用户的敏感信息。”“由于拥有大量用户的敏感信息所以喜欢挖掘它漏洞的人也比较多。”林伟补充道。林伟介绍,一般厂商会在确认系统漏洞当天完成修补并进行反馈。经了解,中国电信现已关停相关服务器。
2013年国内知名的安全反馈平台乌云(WooYun)最近发现,中国电信官网189.cn上存在极其严重的安全漏洞,攻击者能够利用它获取极为敏感的用户隐私,包括通话详细记录等全部无所遁形。
其实乌云平台在今年1月22日就发现了这一漏洞,类型为“设计缺陷/逻辑错误”,并由国家信息安全漏洞共享平台(CNVD)进行了确认和复现,随后便通知了国家互联网应急中心(CNCERT)四川分中心,直接协调当地基础电信运营企业进行处置。两天之后,该漏洞就得到了最终确认。2月份,漏洞的细节逐步向白帽黑客和相关专家披露。
现在,公众也可以随便查询相关漏洞细节了。
这次涉及泄漏的信息实在过于敏感,实现方法又过于简单,猛一看确实不可思议。在漏洞报告中,乌云平台详细展示了如何利用这一漏洞获取用户隐私,包括查询基础业务情况、套餐使用量、通话详单(精确到秒)、流量信息、消费余额等等等等,甚至可以登陆客户端发短信(可短信轰炸),更可怕的是竟然还能直接远程操纵订购产品,随便给你开通个服务什么的。简单地说,电信用户将没有任何秘密可言。
中国电信发布安全公告 用户DNS或遭篡改
2013年6月中国电信在腾讯微博的官方账号发布了一则安全公告,称中国电信网络安全团队(SOC)发现,有黑客利用家庭宽带路由器默认口令漏洞,盗取用户信息。
(中国电信官方微博)
据了解,黑客是利用该漏洞篡改用户正常DNS地址,并导向66.102.*.*和207.254.*.*这两组位于境外的IP网段内。当用户访问特定网站时,就可能被转到恶意仿冒网页,造成信息泄露。
对此,中国电信建议用户检查自己的路由器DHCP中的DNS设置知否属于66.102.*.*或207.254.*.*,并在微博中给出了相应的应对操作步骤,以确保用户的使用安全。