这儿的密码泄露，影响可比你想像得大得多。

尽管强调了许多次“弱密码等于没密码”，但貌似还是有很多人不知道。时不时又有新的案例出现，警示我们科普大业仍待努力。

最近一个案例跟国内的移动运营商有关，主角是中移动，不过相信这个案例应该是三大运营商的通病。

去年年末，有白帽发现中移动手机营业厅某处接口过滤不严，可进行撞库攻击。其当时简单测试了下，使用“000000”、“123456”、“888888”三个弱密码，对上海地区的移动号码进行登录尝试。

结果令人大吃一惊。几小时内，竟有超过5万个手机号登录成功。

部分登录成功的手机号的截图

如果把这5万＋弱密码的手机号放在中移动刚刚公布高达8亿的总用户数中，一点也不显眼。但换个角度，弱密码也是有高下之分的，手机营业厅的密码为固定6位数字，上述三个是其中最弱的，稍弱一些比如“456123”、“666666”，又有多少中招呢？再想一下，这次只是小范围的测试，放在8亿用户的大背景下，中招比例是否会量级翻番？

手机营业厅上有每位用户的个人信息、使用手机的详细记录、以及各类业务的办理和退订，涉及大家的个人隐私（资金安全还好，如有类似案例运营商一般会给予退款），建议各位严肃待之。

关联漏洞链接：

http://www.wooyun.org/bugs/wooyun-2015-0165947

头条不支持外链，欲了解更多可在「乌云安全中心」客户端中查看