昨天下午，国内漏洞报告平台乌云上传出一个中国联通的高危漏洞，白帽子称该漏洞可致使联通用户通话记录、短信收发记录、登陆过的社交账号等多个重要隐私信息被泄露。

在漏洞的简要描述中，其透露不仅可以查询用户通话、短信等隐私，还可以得到目标手机号码的绑定邮箱id、手机IMEI、手机型号以及基站定位，几乎涉及用户和运营商之间的所有信息。

消息一出来，立刻在社交网络、媒体上传开来。新年的第一发国内重要安全事故，就这样倏然开场了。

漏洞由国家互联网应急中心（CNCERT）接收，后转交给中国联通。昨日下午五点多，中国联通客服在微博上称已关注到此问题，正在跟进核查中。大约晚上七八点，中国联通客服开始在微博上对相关报道评论，声明存在漏洞的系统为其实验系统，只包含少量测试模拟数据，中国联通获知后已经对漏洞进行了修复。

　　中国联通客服在微博上咨询乌云漏洞事宜

响应速度如此快，确实值得赞扬。不过关于其说法的可信度，却不太好说，乌云方面后续向雷锋网回应称，对于联通“一个项目的漏洞，并非全国系统”的说法不予置评，乌云希望联通尽快修复漏洞，并避免再出现此类问题。

雷锋网则在关注另外一点，中国联通确认的这个漏洞里，有一些不该出现的数据。这家网络基础设施提供方，真的有权拿到那些吗？

在漏洞页面上，提到了三类数据。

一是用户使用联通业务的记录，包括通话记录、短信收发记录、目标手机号绑定的邮箱、流量套餐和使用情况；

二是某个具体手机（号码）和联通基站之间连接的必需数据，包括手机IMEI、手机型号（不太确定这个是否为必需数据）、地理位置（连接过的基站可作为定位参考）；

三是登陆过的社交账号。

通过漏洞可以获取以上前两种信息，无可厚非，我们还曾经在运营商登记过身份证信息，如果出现问题，这个其实也存在泄露可能。

只是，第三种信息就很奇怪了，用户曾经登陆过的社交账号？中国联通怎么会有？我们登陆社交网站似乎跟它没关系吧？

一位不愿具名的安全专家告诉雷锋网，如果可以查询到用户登陆过的社交账号，最大可能是基于过往流量进行分析，各大社交网站不知道、也太可能去告知运营商自家账号曾经在哪台手机上登陆过。

所谓流量分析技术，是说将过往流量的特征进行甄别，其中各大社交网站的流量可单独提取出来，并做更细致的账号密码、查看信息、发送信息等各种数据提炼。这种技术早有先例，斯诺登就曾经曝光美国NSA在运营商的流量出口上做类似分析。

事情真相不得而知，中国联通并未就数据类别进行解释。所以，如果是真的，我们有办法防范吗？