中国电信爆出安全漏洞 亡羊补牢 为时晚否?
中国电信爆出安全漏洞,亡羊补牢,为时晚否?
正处在风口浪尖上的中国三大运营商又有劲爆消息传出,这次是中国电信。
近日,补天漏洞响应平台再次爆出中国电信某系统的重大漏洞。通过该漏洞可以查询上亿用户信息,涉及姓名、证件号、余额,并可以进行任意金额充值、销户、换卡等操作。10月29日上午10点,该漏洞已得到中国电信厂商确认。
中国电信系统此次的重大系统漏洞,牵扯的范围太广,几乎涵盖了中国电信总用户数的一半以上。根据中国电信第三季度财报,用户数量上,中国电信今年前三季度移动用户数达到约1.94亿户。
这里,笔者有几个问题:
一,中国电信漏洞的出现,原因是什么?
二,经了解,中国电信现已关停相关服务器。中国电信此举,可谓亡羊补牢。但是,亡羊补牢是为时未晚,还是为时已晚?这会给中国电信的用户带来什么样的损失?这个我们还不确定。
就以上这两个问题,笔者采访了国内某安全公司一位不愿透露姓名的安全专家,他认为:“一,出现信息泄露往往有多种原因。比较常见的是弱口令和代码安全性低。二,这次的漏洞涉及到信息泄露,目前尚不清楚漏洞是否已经被黑客利用。”
这位专家说的比较客观。而在笔者看来,在中国电信关停相关服务器之前,漏洞已经出现,如果信息泄漏过多,那就是为时已晚了;如果信息没有泄漏多少,就是为时未晚。但关键问题是,究竟流出多少信息,除了那些通过漏洞进入的黑客,谁也不太清楚。唯一可以验证的方式是,黑市上有多少数量的用户信息被倒卖。
而今后,这样的漏洞说不定还会在中国电信以及其他运营商那里出现,运营商们该如何防范呢?
针对这个问题,上述安全专家说:“设置较为复杂的口令,以及定期对代码进行安全审查,可以在一定程度上防范此类事件。”
这时,笔者想起了2015年4月卫生和社保系统出现大量高危漏洞时的“故事”。我们,警惕性真的太差了。
卫生和社保系统出现大量高危漏洞时,笔者曾向欧洲反计算机病毒协会创始人、德国歌德塔(G Data)软件有限公司安全顾问Eddy Willems先生请教大数据的安全问题,他认为目前大数据的加密手段存在严重的不足。他对大数据安全提出的建议是:“智能设备厂商以及其他企业可以与安全软件厂商合作,这不是难题。同时,厂商需要提高自己的安全意识,为智能硬件或者数据库加上复杂的秘密,二进位的密码。这都可以弥补安全方面的隐患。”这个建议,对中国电信这样的企业同样适用,并且与前述安全专家的建议不谋而合。
中国电信亡羊补牢,为时可晚?我们真的不清楚。但是我希望中国电信能从中吸取教训,别的企业也要吸取教训。至少,中国电信需要极大的重视。要知道,2015年前三季,中国电信营收2463.17亿元,同比上升1.1%;利润164.07亿元,同比仅增长1.2%。从财报上看,中国电信的财报不怎么好看。经过此次漏洞事件,中国电信的前景堪忧。如果不认真总结,那就更加堪忧了。