中國(guó)電信再次被曝重大漏洞 官方回應(yīng)：25日已完成修復(fù)

央廣網(wǎng)北京10月30日消息(記者張棉棉車麗)據(jù)中國(guó)之聲《新聞晚高峰》報(bào)道，如今手機(jī)對(duì)于我們來說，不僅僅是通話功能，它還承載了網(wǎng)絡(luò)支付的便利。最近，補(bǔ)天漏洞響應(yīng)平臺(tái)再次爆出中國(guó)電信某系統(tǒng)的重大漏洞，據(jù)說通過此漏洞可以查詢上億用戶信息，目前漏洞如何彌補(bǔ)，中國(guó)電信有哪些回應(yīng)？

補(bǔ)天漏洞響應(yīng)平臺(tái)負(fù)責(zé)人林偉介紹，黑客發(fā)現(xiàn)這個(gè)漏洞的入口不是很難，比較低微的弱口令和越權(quán)操作就能夠進(jìn)入這個(gè)系統(tǒng)。進(jìn)到系統(tǒng)之后，黑客發(fā)現(xiàn)有很多高危漏洞，竟然可以看到全國(guó)電信用戶的敏感信息。

林偉稱：“補(bǔ)天平臺(tái)的‘白帽子’給我們反饋的這個(gè)漏洞。陜西電信的一個(gè)管理后臺(tái)有個(gè)弱口令，能夠查很多人的手機(jī)注冊(cè)所有人信息，包括可以開卡銷卡，能任意充話費(fèi)。這是28號(hào)的事，我們29號(hào)通知了電信，電信第一時(shí)間進(jìn)行了確認(rèn)，是把業(yè)務(wù)關(guān)停又進(jìn)行修復(fù)，現(xiàn)在已經(jīng)修復(fù)了。”

林偉所說的“白帽子”，描述的是正面的黑客，他可以識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，但并不會(huì)惡意利用，而是公布這個(gè)漏洞。這樣，系統(tǒng)將可以在被其他人利用之前來修補(bǔ)漏洞；林偉同時(shí)提到，由于擁有大量用戶的敏感信息，所以喜歡挖掘這種漏洞的人也比較多。一般廠商會(huì)在確認(rèn)系統(tǒng)漏洞當(dāng)天完成修補(bǔ)并進(jìn)行反饋。記者采訪了中國(guó)電信相關(guān)負(fù)責(zé)人，這位負(fù)責(zé)人稱，目前已通過網(wǎng)絡(luò)信息安全自我完善機(jī)制修復(fù)安全漏洞：這一安全漏洞為某省級(jí)公司一個(gè)增值業(yè)務(wù)平臺(tái)的軟件漏洞，公司已于第一時(shí)間按照標(biāo)準(zhǔn)流程進(jìn)行及時(shí)處理，并于2015年10月25日凌晨4點(diǎn)完成修復(fù)。

中國(guó)電信相關(guān)負(fù)責(zé)人表示，此漏洞的發(fā)現(xiàn)和修復(fù)，是中國(guó)電信網(wǎng)絡(luò)信息安全自我完善機(jī)制運(yùn)行的結(jié)果。中國(guó)電信是國(guó)家信息安全漏洞共享平臺(tái)，也就是CNVD的成員單位，通過與其它CNVD成員單位包括漏洞發(fā)現(xiàn)平臺(tái)的合作，進(jìn)行日常網(wǎng)絡(luò)信息安全漏洞巡檢，主動(dòng)發(fā)現(xiàn)隱患并及時(shí)排除，該網(wǎng)絡(luò)信息安全自我完善機(jī)制是中國(guó)電信確保網(wǎng)絡(luò)信息安全的重要手段之一。據(jù)了解，該漏洞是由CNVD成員單位發(fā)現(xiàn)通報(bào)后，中國(guó)電信第一時(shí)間修復(fù)。

林偉談到，在監(jiān)測(cè)過程中，不僅僅電信有過這樣的漏洞，移動(dòng)和聯(lián)通也曾被擊中。

林偉說：“挺多的，包括這幾家運(yùn)營(yíng)商，電信、移動(dòng)、聯(lián)通都有類似的問題，信息量這么大的漏洞相對(duì)比較少，因?yàn)橹挥袀€(gè)別幾家有這樣的量級(jí)。廠商會(huì)對(duì)漏洞進(jìn)行修復(fù)，到我們這里來認(rèn)領(lǐng)漏洞，進(jìn)行修復(fù)，給我們一個(gè)修復(fù)的回復(fù)?！?/p>

林偉說，現(xiàn)在越來越多的廠商開始在補(bǔ)天平臺(tái)上認(rèn)領(lǐng)漏洞和修復(fù)漏洞，而且速度越來越快，建議利用白帽黑客的技術(shù)來防范風(fēng)險(xiǎn)：“因?yàn)檫^去實(shí)際上黑客都是在水面下的，很多的漏洞實(shí)際上并沒有被曝光出來，大家不知道，并不是沒有漏洞，現(xiàn)在我們希望更多的企業(yè)能夠來獎(jiǎng)勵(lì)這些白帽子，讓他們不要去做黑客，幫助企業(yè)去發(fā)現(xiàn)更多的漏洞，這些漏洞被曝光出來不見得是一個(gè)壞事，反而說是幫助企業(yè)把漏洞補(bǔ)上，不至于以后出現(xiàn)重大的安全事件時(shí)，被別人惡意的利用?！?