电信方面表示,漏洞已经于10月25日凌晨修复完毕,但并未透露有多少用户受到影响。
图片来源:华盖创意
信息泄漏无处不在。
10月26日,一名网名为“带头大哥”的网友在补天漏洞响应平台上提交了一份有关中国电信系统的漏洞,称该漏洞可查看到全国上亿电信用户的信息。
补天漏洞平台上的信息显示,截至10月29日,厂商(中国电信)已确认该漏洞信息,并且处于修复状态。
补天漏洞响应平台负责人林伟在接受媒体采访时表示,黑客发现上述漏洞的入口不是很难,用比较低微的弱口令和越权操作便能进入这个系统。一旦进入系统后,黑客发现有很多高危漏洞,可以看到全国电信用户的敏感信息。
根据中国电信在10月28日发布的财报可知,截至9月底中国电信移动用户数为1.94亿户,较去年9月底增1277万户,移动用户净增872万户,其中3G/4G用户数为1.37亿户,净增加1818万户。而固网宽带用户数为1.11亿户,较去年9月底增538万户,固网本地电话用户数为1.37亿户。
上述漏洞并未明确说明受到影响的具体是哪部分用户,最多可能会有上亿人的信息面临泄露威胁。
从“带头大哥”发布的一张截取的某用户信息图上可以看到,用户的姓名、证件号码、电信卡号、账户余额(包括可提现的余额)等关键信息都可以详细的显示,而在信息表格下方,黑客则可以直接操作“账户销户”、“现金充值撤销”、“客户换卡”。
有关漏洞的更多详细内容,补天漏洞并未公开。
“一般厂商会在确认系统漏洞当天完成修补并进行反馈。经了解,中国电信现已关停相关服务器。”林伟表示。
像这样的信息泄露事件几乎每隔一段时间便会被爆出。
今年5月,补天漏洞响应平台上有专业级别的网友披露,中国人寿广东分公司系统存在高危漏洞,10万客户信息存在随时大面积泄露的可能性。保单信息、微信支付信息、客户姓名、电话、身份证、住址、收入多少、职业等敏感信息一览无余。
8月27日,乌云漏洞报告平台发布报告显示,线上票务营销平台大麦网再次被发现存在安全漏洞,600余万用户账户密码遭到泄露。
9月14日,国家互联网应急中心报告显示,“开发者使用非苹果公司官方渠道的工具Xcode开发苹果应用程序(苹果App)时,会向正常的苹果App中植入恶意代码。被植入恶意程序的苹果App可以在App Store正常下载并安装使用。该恶意代码具有信息窃取行为,并具有进行恶意远程控制的功能。”
近一个月后,乌云漏洞报告平台又有网友发现网易用户数据库疑似泄露,影响到网易163、126邮箱过亿数据,泄露信息包括用户名、密码、密码密保信息、登录IP以及用户生日等。不过网易方面对此进行了否认,称是在其他网站使用相同用户名所致。
对于这一事件,中国电信方面10月30日下午通过官方微博回应称,此安全漏洞为某省级公司一个增值业务平台的软件漏洞,公司此前已按照标准流程进行及时处理,并于10月25日凌晨4点完成修复。
电信方面表示:该漏洞的发现和修复,是中国电信网络信息安全自我完善机制运行的结果。作为国家信息安全漏洞共享平台(CNVD)的成员单位,中国电信通过与其它CNVD成员单位的合作,进行日常网络信息安全漏洞巡检,主动发现隐患并及时排除。这项机制是中国电信确保网络信息安全的手段之一。