美国最大的无线通信提供商Verizon以44亿美元收购美国在线AOL的消息登上本周外媒新闻头条。然而，BuzzFeed的最新报告显示，Verizon设计中的一个重大安全漏洞可能使这一电信巨头遭遇更具挑战的一周，攻击者利用该漏洞只需一个浏览器插件及拨打几个电话便可以获得Verizon客户的所有个人信息，同时控制客户的Verizon账户。

漏洞原理

上周BuzzFeed收到了来自Cinder现任首席信息安全官Eric Taylor（前黑客）的消息，声称Verizon系统中存在的一个漏洞，攻击者一旦加以利用便可轻松获取Verizon客户的个人信息：只需一个浏览器插件和向客服拨打几个电话即可。在收到Taylor的信息之后，BuzzFeed的Joseph Bernstein在数小时内就控制了几个Verizon的账户。整个过程只包括“两个下载，复制和粘贴电子邮件的一些信息，然后与Verizon客服进行一些信息交互”。

该漏洞之所以存在，主要因为Verizon的客服网站是通过客户的计算机IP地址来区分每一个客户。而这个IP地址是由客户的互联网服务供应商提供。因此客服网站判断的依据是，客户是否以一个Verizon可以识别的IP地址来访问他们的网站。因为这些IP地址对于每个家庭网络客户来说都是独一无二的，所以当它遇到一个可识别的IP地址时，它将知道该IP地址对应的用户的信息，并且会自动显示客户位置信息、姓名、电话号码以及邮箱地址，而这些信息正是控制Verizon账户所需要的。

Verizon官方回应

作为美国最大的本地电话公司、最大的无线通信公司，全世界最大的印刷黄页和在线黄页信息的提供商，Verizon在美国、欧洲、亚洲、太平洋等全球45个国家经营电信及无线业务，公司在纽约证券交易所上市。因此该漏洞所影响的用户群体是十分庞大的，而对于每一个Verizon客户来说，现在非常担心他们的信息会传播到网络上。

不过需要注意的是，该漏洞已经修复（在发布报告之前BuzzFeed已通知Verizon），并且报告已经更新，内附Verizon的声明如下：

“我们有理由相信这并没有影响到任何客户，除了那些被Buzzfeed使用了的信息。一旦我们发现任何问题，将会直接联系这些受影响的客户。”

这确实是一个好消息，但正如BuzzFeed在另一份更新中指出：该漏洞是从4月22日被发现，如果有更邪恶的网络组织早于Taylor发现该漏洞，将会造成不可估量的损失。现在，这一话题已成为围绕Verizon未来持续增长的讨论中不可或缺的一部分。

* 参考来源yahoo，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）