自从腾讯推出了QQ等级制度,Q友们的热情超乎想象。与此同时,一种新的业务也随之诞生,那就是QQ代挂服务,即用自己的QQ号码和密码登录QQ挂机服务器,由专门的服务器履行挂QQ等级的任务。但是由于这些服务器绝大多数都是网友自己提供的,因此都存在一些系统隐患,最近出现的一个QQ挂机漏洞足可以让所有挂Q人士汗颜。
危 害
漏洞出现在一款名叫“搜客QQ挂机平台”的软件上,这款软件是最近在网上比较火的QQ挂机平台软件,很多挂机服务器都采用了此平台。然而其宣称的QQ密码登录加密根本无从谈起,挂机服务器的管理员可以在本地读取所有当前正在挂级的QQ密码。更为严重的是攻击者可以下载其默认数据库,在本地打开后利用软件将QQ密码“一网打尽”。
观 点
Q友将QQ号码放心地挂在服务器上,是因为很多QQ挂机平台宣称的密码加密,然而服务器的管理员真的不知道你的密码是什么吗?事实证明你的一切都在管理员的眼皮底下,你的靓号未被盗只能说明你幸运地碰上了一位好心的管理员,如果管理员搭建服务器的目的就为盗QQ,那么,后果就可想而知了。
防 范
对于攻击者可以下载挂机平台的数据库,严格地说不应该属于漏洞,而是由于管理员缺乏安全意识造成的。一般的网站管理员都经过培训,都知道把网站的数据库更名以防下载。而正如本文开头所说的那样,这些QQ挂机服务都为网友自己提供,正是由于部分网友的安全意识缺乏,使攻击者可以轻而易举地得逞。
腾讯将于8月15日正式取消QQ的级别计算方式,QQ等级不再以在线时间长短计算,而是以“活跃日”来代替在线时间,因此,由QQ挂机引起的安全问题也将告一段落。最后希望朋友能提高安全意识,使自己能安全地“翱翔”于网络“天空”。
