ADSL帐单"多收了三五斗"--爆电信的无耻罪行 [ 日期:2004-12-18 ]
事情的起因是这样的:昨天偶一个朋友跟偶说ADSL帐单上多出来个互连星空的收费,打电话询问,却被告知可能是因为ADSL密码被盗.
这听起来似乎只是一般的黑客行径,但是,其实问题并没那么简单~
www.chinavnet.com,这个是"互连星空",几乎包揽了各式各样的宽带增值服务,比如在线点播,QQ币充值...等等,绝大部分服务都是收费的,收费方式也有很多种,其中有一种就是:"如果您是中国电信宽带用户则请输入您的中国电信ADSL宽带帐号和密码。",这句是网站原文,而问题也就恰恰出在这里.
首先,正规的ADSL的帐号是跟固定电话绑定的,也就是说"在其他地方使用这个ADSL帐号,都无法证明使用者是帐号的拥有者".
举个例子:我在银行里设了私人小金库,开锁需要我的指纹,这就是类似于"绑定"的关系,我的指纹可以证明我是这个金库的拥有者;可是有个人看偶眼红,便把偶给"咔喳"了...偶的手被他砍下来带到银行,银行就这么看着他用偶的手开启了金库,取走了偶里面珍藏的游戏.
既然偶的手已经在别人手里,此时"绑定"的关系解除,金库被开,责任在银行?在是还是罪犯?
这个问题的解决方法很简单,只要看看那个开锁的手是不是长在开锁的人的身上的就可以了,返回到ADSL的问题,也就是检验一下这个帐号是否是当前拨号用户的,互连星空有这个能力,但是...它没做.
其次,一个网络安全技术问题.就现在互连星空的登陆页面,其安全性低到不如一个私人论坛,说得难听点,它故意在给不法黑客提供了一把"刀".为什么这么说,1.这个登陆页面没有单IP的密码重试次数限制,你可以对一个帐号进行密码的穷举;2.这个页面的4位数登陆验证码使用文件名与验证码相同的4张位图拼成的,验证码的作用是为了增加密码穷举的黑客程序的开发难度,现在互联星空的验证码形同虚设.
这两个技术问题解决起来也是很简单的,限制单IP在一定时间内的密码重试次数并生成难以用程序识别的单张的验证码位图.
如此简单的网络登陆安全问题,它们没有做,作为一个正规的大公司,这不是很奇怪吗?
其实也不奇怪,它们也是为了挣更多的"钱"嘛.
偶们来分析一下:ADSL用户120/包月,+10元/月可以增速到1M,+20元/月可以增速到2M.所以一般情况下,电信从每个客户那里拿到的钱是不会多的,怎么办呢?又不能死皮赖脸地问客户多要钱.只好借"刀"杀人...
在线点播,QQ币充值等服务,都是按月收费的,少则5元,多则50元,只要你定制了,就可以即时享用,电信会在ADSL月结的时候连这些帐一起算到你的ADSL帐单上,这叫"先斩后奏",用个时尚点的叫法就是"先享受,后买单"
这些服务刺激了网络上一些不法游民,这些服务都是他们想要的.他们拥有一定黑客技术,同时,互连星空又开了那么大个后门给他们,最后会产生什么后果,偶想电信和互连星空要比这些黑客更加清楚...
最后,还有一个很大的原因,电信之所以会作出这种事,就是因为很多ADSL用户和企业都不清楚原因或者根本不把这些小钱放在眼里(每月多几十块对一个公司就是九牛没毛),这更使得互连星空会如此肆无忌惮地提供出这把"刀"....
分析到这里,偶真是非常气愤,希望更多人能在了解了ADSL帐单多收了三五斗的本质后,能一起声讨电信的这种做法!
