中國聯通為什么能拿到那么多用戶隱私？

昨天下午，國內漏洞報告平臺烏云上傳出一個中國聯通的高危漏洞，白帽子稱該漏洞可致使聯通用戶通話記錄、短信收發記錄、登陸過的社交賬號等多個重要隱私信息被泄露。

在漏洞的簡要描述中，其透露不僅可以查詢用戶通話、短信等隱私，還可以得到目標手機號碼的綁定郵箱id、手機IMEI、手機型號以及基站定位，幾乎涉及用戶和運營商之間的所有信息。

消息一出來，立刻在社交網絡、媒體上傳開來。新年的第一發國內重要安全事故，就這樣倏然開場了。

漏洞由國家互聯網應急中心（CNCERT）接收，后轉交給中國聯通。昨日下午五點多，中國聯通客服在微博上稱已關注到此問題，正在跟進核查中。大約晚上七八點，中國聯通客服開始在微博上對相關報道評論，聲明存在漏洞的系統為其實驗系統，只包含少量測試模擬數據，中國聯通獲知后已經對漏洞進行了修復。

中國聯通客服在微博上咨詢烏云漏洞事宜

響應速度如此快，確實值得贊揚。不過關于其說法的可信度，卻不太好說，烏云方面后續向雷鋒網回應稱，對于聯通“一個項目的漏洞，并非全國系統”的說法不予置評，烏云希望聯通盡快修復漏洞，并避免再出現此類問題。

雷鋒網則在關注另外一點，中國聯通確認的這個漏洞里，有一些不該出現的數據。這家網絡基礎設施提供方，真的有權拿到那些嗎？

在漏洞頁面上，提到了三類數據。

一是用戶使用聯通業務的記錄，包括通話記錄、短信收發記錄、目標手機號綁定的郵箱、流量套餐和使用情況；

二是某個具體手機（號碼）和聯通基站之間連接的必需數據，包括手機IMEI、手機型號（不太確定這個是否為必需數據）、地理位置（連接過的基站可作為定位參考）；

三是登陸過的社交賬號。

通過漏洞可以獲取以上前兩種信息，無可厚非，我們還曾經在運營商登記過身份證信息，如果出現問題，這個其實也存在泄露可能。

只是，第三種信息就很奇怪了，用戶曾經登陸過的社交賬號？中國聯通怎么會有？我們登陸社交網站似乎跟它沒關系吧？

一位不愿具名的安全專家告訴雷鋒網，如果可以查詢到用戶登陸過的社交賬號，最大可能是基于過往流量進行分析，各大社交網站不知道、也太可能去告知運營商自家賬號曾經在哪臺手機上登陸過。

所謂流量分析技術，是說將過往流量的特征進行甄別，其中各大社交網站的流量可單獨提取出來，并做更細致的賬號密碼、查看信息、發送信息等各種數據提煉。這種技術早有先例，斯諾登就曾經曝光美國NSA在運營商的流量出口上做類似分析。

事情真相不得而知，中國聯通并未就數據類別進行解釋。所以，如果是真的，我們有辦法防范嗎？

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。