聯通客服系統漏洞修復緩慢 不提補償引質疑

綜合報道，近日，有黑客向媒體爆料稱中國聯通(微博)10010客服系統存在巨大漏洞，而這個漏洞的利用門檻極低，且能造成非常巨大的影響。更有網友曬出利用該漏洞自行發布來源為“10010”的短信息。

對于一家擁有超過2億用戶的運營商來說，如此漏洞所造成的影響可想而知。但聯通方面對此的反應卻顯得不緊不慢，直到漏洞被曝出近一周后，中國聯通才在昨日下午通過聲明稱已經修復10010短信平臺，并已向公安機關報案。

“傻瓜”級漏洞威脅超兩億聯通用戶

據《每日經濟新聞》報道，2月14日，一位網名為“zazaz”的黑客在國內安全問題反饋平臺烏云上提交漏洞，稱中國聯通客服系統存安全隱患，網友可利用中國聯通客服號碼“10010”給任意聯通號碼發自定義短信。

“zazaz”表示，該漏洞的利用門檻兒非常低，并隨著在烏云平臺公布后，已經有部分用戶用于娛樂。但若被不法分子利用進行詐騙，將會帶來巨大的財產損失。“zazaz”還表示，如果在短信后面附上危險鏈接，用戶一旦點擊，鏈接就可以下載木馬，綁定SP業務定制，甚至結合WAP漏洞獲取用戶手機瀏覽器里的SID(安全標識符，是標識用戶、組和計算機賬戶的唯一的號碼)。“為什么一個傻瓜漏洞，聯通自己沒發現？”互聯網資深觀察家丁道師感嘆，如果被不法分子利用加以詐騙的話，后果將會怎樣？”

北京郵電大學教授曾劍秋認為：“首先黑客可以利用平臺進行詐騙，或者是發送一些垃圾短信甚至黃色短信都可能，第二個是利用這個平臺發短信對運營企業可能肯定是有傷害的，第三方面正常的用戶發送短信的公平性受到了損害。”

令據中國聯通最新數據顯示,其3G用戶已增至4306.9萬戶，2G用戶接近1.6億戶。這意味著至少超過2億的聯通用戶都有可能因此而遭受損失。

聯通回應只說修復不提補償 反應遲緩再引質疑

昨天下午，中國聯通通過官方微博發布聲明，已在“獲悉信息后第一時間對平臺進行了修復”。但中新網IT頻道記者在登陸“烏云”后發現，該漏洞遞交當天“烏云”已通知中國聯通。但聯通方面一直未進行修復。該網站信息還顯示，直到2月19日，“廠商已經主動忽略漏洞，細節向公眾公開”。直到21日修復完畢，已經經過了一周。如此“傻瓜”但影響巨大的漏洞，讓聯通花費了一周時間，也暴露出聯通不僅存在安全漏洞，更存在管理漏洞。

公共學者丁兆林就此表示：“按道理來說做壞事的黑客就是一兩個人，但是聯通如此大的一個公司，這么強大的實力，如果是一兩個干壞事的人都不能夠對付的話，那么它如何能夠給這么多客戶給提供有保障的服務，怎么能讓客戶信任他。我覺得我們很多電信機構之所以出現這樣的漏洞，絕不是因為他們沒有實力堵住漏洞，而是它管理的責任心的問題和管理系統的問題。”

此外，聲明中還稱10010短信平臺是為公眾用戶提供服務的基礎電信平臺，受法律保護，任何攻擊此類平臺的行為都屬違法，還表示已著手就此事向公安部門報案，并向用戶表示歉意。但中國聯通并未就該漏洞造成的影響進行表態，也未對如何補償用戶可能因此而造成的損失進行明確表述。