聯通被曝系統漏洞 可查詢用戶一切信息(圖)
中國聯通被曝存在可泄密高危漏洞。(網路截圖)
【看中國2015年01月10日訊】(看中國記者端木珊綜合報導)日前,中國聯通被曝存在可泄密高危漏洞,幾乎可監控手機用戶的一切手機活動信息。
1月8日下午14時15分,漏洞平臺烏雲發布一則漏洞消息,稱「中國聯通某系統存在高危漏洞可致相關信息記錄\LBS\社會等信息泄露風險」。
據陸媒《新京報》報導,中國聯通可以通過該漏洞,查詢任意用戶通話記錄、簡訊收發記錄、地理位置以及登錄過的社交賬號等。
據稱,該漏洞只需知道目標用戶的手機號碼,即可獲取該號碼對應的詳細的通話記錄(手機號碼、時長),號碼曾經使用過的社交網路賬號信息(QQ、微博等),目標號碼手機綁定的郵箱賬號、手機IMEI、手機型號,甚至可以鎖定用戶的地理位置等。
烏雲平臺相關人士將該漏洞級別定位較高,並表示此處漏洞入口確是一個不應該出現的低級漏洞。目前漏洞細節已經通過第三方廠商(cncert國家網際網路應急中心)進行了通報。
在2小時後的16時04分,烏雲再發布漏洞「利用中國聯通所屬機構某系統介面缺陷在非 Wi-Fi環境下可導致部分手機信息和 LBS信息泄露風險」。
再過去1小時的17點53分,烏雲又曝出「中國聯通某省大量核心設備弱口令(疑似廠商後門)」漏洞,簡要描述中寫道:「中國聯通黑龍江某市大量核心設備弱口令,疑似廠商存在後門」。
1月9日,聯通相關人士對此回應稱,是聯通的一個實驗項目的漏洞,並且已經修復。烏雲方面則對聯通「一個項目的漏洞,並非全國系統」的說法,不予置評。
不過,有網友發博文稱,「在烏雲存在的4年間,平台上與聯通相關的漏洞共有658條,其中包括‘中國聯通山東分公司某系統存在SQL注入出現大量用戶賬戶和密碼信息泄露’——該漏洞會造成入侵者登錄系統管理員後臺,任意添加、刪除用戶,啟用、裝機和查看設備終端;‘中國聯通某省公司SQL+XSS+越權+路徑+遍歷’——該漏洞導致47萬用戶名密碼泄露;‘中國聯通某漏洞導致數十萬客戶信息泄露’——可導致數十萬客戶姓名、電話、餘額、套餐詳情、積分信息泄露。」