乌云曝中国电信官网存严重安全漏洞

智慧棒

国内知名的安全反馈平台乌云(WooYun)最近发现，中国电信官网189.cn上存在极其严重的安全漏洞，攻击者能够利用它获取极为敏感的用户隐私，包括通话详细记录等全部无所遁形。
其实乌云平台在今年1月22日就发现了这一漏洞，类型为“设计缺陷/逻辑错误”，并由国家信息安全漏洞共享平台(CNVD)进行了确认和复现，随后便通知了国家互联网应急中心(CNCERT)四川分中心，直接协调当地基础电信运营企业进行处置。
两天之后，该漏洞就得到了最终确认。2月份，漏洞的细节逐步向白帽黑客和相关专家披露。
现在，公众也可以随便查询相关漏洞细节了。
这次涉及泄漏的信息实在过于敏感，实现方法又过于简单，猛一看确实不可思议。在漏洞报告中，乌云平台详细展示了如何利用这一漏洞获取用户隐私，包括查询基础业务情况、套餐使用量、通话详单(精确到秒)、流量信息、消费余额等等等等，甚至可以登陆客户端发短信(可短信轰炸)，更可怕的是竟然还能直接远程操纵订购产品，随便给你开通个服务什么的。
简单地说，电信用户将没有任何秘密可言。
至于如何应对，普通用户现在还是待宰羔羊，没有任何办法只能等待电信方面进行修补，完善后端。

                               
登录/注册后可看大图

                               
登录/注册后可看大图

查询流量

                               
登录/注册后可看大图

　　查询花费、余额

                               
登录/注册后可看大图

　　查询业务开通情况

                               
登录/注册后可看大图

　　查询精确的通话详单

                               
登录/注册后可看大图

　　查询基础业务开通情况

                               
登录/注册后可看大图

                               
登录/注册后可看大图

订购产品

                               
登录/注册后可看大图

　　发短信