PConline日前接一位动感地带用户报料称,自己可以在动感地带网站的广东专区上通过正常操作进入其它注册手机的资料。
PConline日前接一位动感地带用户报料称,自己可以在动感地带网站的广东专区(http://m-zone.gmcc.net)上通过正常操作进入其它注册手机的资料。通过接触,PConline证实了该动感地带用户所说的bug(漏洞)确实存在于动感地带网站系统中,发现这一bug的人甚至可以更改其它用户的套餐资料、停机等,从而实现对该号码的核心控制。
通过某种正常操作可看到其他用户的详细注册资料。(截图)
该用户在向PConline反映此事时表示,上个月他在广东移动动感地带网站进行网上自助办理业务,却意外的发现,通过该页面上的某些正常操作之后,他居然可以顺利的进入他女朋友号码的数据界面,可以浏览到她的所有个人资料、余额、套餐业务,甚至可以进行更改。该动感地带用户告诉PConline说,当时他“惊呆了!”因为他虽然知道他女朋友的号码,但并不知道密码。随后,他拿几个朋友的号码进行实验,在没有它们密码的情况下,都可以顺利进入那几个号码的数据界面。
该动感地带用户强调,整个过程中他都是通过网站页面上的某些正常操作完成的,没有使用黑客技术、没有对url进行处理。另外,意识到事态的严重性,出于最基本的社会道德,该用户要求几个朋友对如何进入其他用户的数据库的方法(即该bug出现的情况)保密。
该用户随后致电1860询问该事件的可能性,答复是“绝对不可能”;营业厅的人在测试之后也认为这样的情况是“不可能的”。PConline得知次事后亦致电移动客服电话1860,客服代表同样称只要自己号码的密码不泄露,其他任何人无论通过什么方法都该不了自己的资料。
昨日,PConline在了解此事后,按照方法进行简单操作,证明动感地带网站确实存在这一漏洞,只要是在该网站注册过的号码,除了不能更改该号码的密码,其它的信息几乎都可以更改,包括超值套餐修改、申请开机/停机、其他新业务办理、GPRS套餐、17951IP闲时优惠套餐等。至于国内其它地区动感地带网站能否进行此操作,目前尚未得知。
一位网友对此表示非常忧虑:“如果我的套餐资料给别人由每月10元套餐改成50元套餐,或由停机改成开机,那谁来负责这份费用呢?”
该用户表示,近两年在生活中和其他朋友也发现了通讯运营商在系统等方面的一些漏洞,不过这一次算是涉及的面很广的。在多次通知移动营业厅没接到答复后,昨日一营业厅的负责人表示,近日将派出技术人员拜访这位客户,当面了解情况。
|
