10010系统傻瓜漏洞威胁2亿用户 联通避谈补偿

　　中新网2月23日电 综合报道，近日，有黑客向媒体爆料称中国联通10010客服系统存在巨大漏洞，而这个漏洞的利用门槛极低，且能造成非常巨大的影响。更有网友晒出利用该漏洞自行发布来源为“10010”的短信息。

　　对于一家拥有超过2亿用户的运营商来说，如此漏洞所造成的影响可想而知。但联通方面对此的反应却显得不紧不慢，直到漏洞被曝出近一周后，中国联通才在昨日下午通过声明称已经修复10010短信平台，并已向公安机关报案。

　　“傻瓜”级漏洞威胁超两亿联通用户

　　据《每日经济新闻》报道，2月14日，一位网名为“zazaz”的黑客在国内安全问题反馈平台乌云上提交漏洞，称中国联通客服系统存安全隐患，网友可利用中国联通客服号码“10010”给任意联通号码发自定义短信。

　　“zazaz”表示，该漏洞的利用门槛儿非常低，并随着在乌云平台公布后，已经有部分用户用于娱乐。但若被不法分子利用进行诈骗，将会带来巨大的财产损失。“zazaz”还表示，如果在短信后面附上危险链接，用户一旦点击，链接就可以下载木马，绑定SP业务定制，甚至结合WAP漏洞获取用户手机浏览器里的SID(安全标识符，是标识用户、组和计算机账户的唯一的号码)。“为什么一个傻瓜漏洞，联通自己没发现？”互联网资深观察家丁道师感叹，如果被不法分子利用加以诈骗的话，后果将会怎样？”

　　北京邮电大学教授曾剑秋认为：“首先黑客可以利用平台进行诈骗，或者是发送一些垃圾短信甚至黄色短信都可能，第二个是利用这个平台发短信对运营企业可能肯定是有伤害的，第三方面正常的用户发送短信的公平性受到了损害。”

　　令据中国联通最新数据显示,其3G用户已增至4306.9万户，2G用户接近1.6亿户。这意味着至少超过2亿的联通用户都有可能因此而遭受损失。

　　联通回应只说修复不提补偿 反应迟缓再引质疑

　　昨天下午，中国联通通过官方微博发布声明，已在“获悉信息后第一时间对平台进行了修复”。但中新网IT频道记者在登陆“乌云”后发现，该漏洞递交当天“乌云”已通知中国联通。但联通方面一直未进行修复。该网站信息还显示，直到2月19日，“厂商已经主动忽略漏洞，细节向公众公开”。直到21日修复完毕，已经经过了一周。如此“傻瓜”但影响巨大的漏洞，让联通花费了一周时间，也暴露出联通不仅存在安全漏洞，更存在管理漏洞。

　　公共学者丁兆林就此表示：“按道理来说做坏事的黑客就是一两个人，但是联通如此大的一个公司，这么强大的实力，如果是一两个干坏事的人都不能够对付的话，那么它如何能够给这么多客户给提供有保障的服务，怎么能让客户信任他。我觉得我们很多电信机构之所以出现这样的漏洞，绝不是因为他们没有实力堵住漏洞，而是它管理的责任心的问题和管理系统的问题。”

　　此外，声明中还称10010短信平台是为公众用户提供服务的基础电信平台，受法律保护，任何攻击此类平台的行为都属违法，还表示已着手就此事向公安部门报案，并向用户表示歉意。但中国联通并未就该漏洞造成的影响进行表态，也未对如何补偿用户可能因此而造成的损失进行明确表述。

　　中新网IT频道将持续关注此事件。