這兒的密碼泄露，影響可比你想像得大得多。

盡管強調了許多次“弱密碼等于沒密碼”，但貌似還是有很多人不知道。時不時又有新的案例出現，警示我們科普大業仍待努力。

最近一個案例跟國內的移動運營商有關，主角是中移動，不過相信這個案例應該是三大運營商的通病。

去年年末，有白帽發現中移動手機營業廳某處接口過濾不嚴，可進行撞庫攻擊。其當時簡單測試了下，使用“000000”、“123456”、“888888”三個弱密碼，對上海地區的移動號碼進行登錄嘗試。

結果令人大吃一驚。幾小時內，竟有超過5萬個手機號登錄成功。

部分登錄成功的手機號的截圖

如果把這5萬＋弱密碼的手機號放在中移動剛剛公布高達8億的總用戶數中，一點也不顯眼。但換個角度，弱密碼也是有高下之分的，手機營業廳的密碼為固定6位數字，上述三個是其中最弱的，稍弱一些比如“456123”、“666666”，又有多少中招呢？再想一下，這次只是小范圍的測試，放在8億用戶的大背景下，中招比例是否會量級翻番？

手機營業廳上有每位用戶的個人信息、使用手機的詳細記錄、以及各類業務的辦理和退訂，涉及大家的個人隱私（資金安全還好，如有類似案例運營商一般會給予退款），建議各位嚴肅待之。

關聯漏洞鏈接：

http://www.wooyun.org/bugs/wooyun-2015-0165947

頭條不支持外鏈，欲了解更多可在「烏云安全中心」客戶端中查看