今年元旦，烏云在萬(wàn)網(wǎng)注冊(cè)的烏云wooyun和80sec域名被劫持，嚴(yán)重的潛在風(fēng)險(xiǎn)且故障持續(xù)時(shí)間長(zhǎng)達(dá)24小時(shí)之久。萬(wàn)網(wǎng)在1月份時(shí)被證實(shí)存在安全漏洞，若該漏洞被惡意用戶利用，騰訊、優(yōu)酷、當(dāng)當(dāng)?shù)戎T多網(wǎng)站域名DNS記錄，將被惡意篡改，后果不堪設(shè)想。

　　“手機(jī)驗(yàn)證碼窮舉缺陷”是烏云一直向互聯(lián)網(wǎng)企業(yè)預(yù)警的漏洞，也正是這個(gè)漏洞，使萬(wàn)網(wǎng)再一次陷入了漏洞門(mén)。

　　近日，“受害者”烏云將黑客攻擊過(guò)程進(jìn)行了重現(xiàn)，還原了整個(gè)過(guò)程：

　　域名注冊(cè)商中國(guó)萬(wàn)網(wǎng)客服，在未確認(rèn)來(lái)電者有效身份的情況下，將網(wǎng)站對(duì)應(yīng)的用戶ID提供給惡意用戶。惡意用戶在不知道域名管理者手機(jī)的情況下，利用手機(jī)重置密碼的功能，強(qiáng)行修改了密碼，如此一來(lái)，任何賬號(hào)的登錄密碼，就可以被重新設(shè)置。

　　而更大的安全漏洞在于，把別人的賬號(hào)綁定上自己的手機(jī)，惡意用戶修改請(qǐng)求中的用戶ID，即可隨意將萬(wàn)網(wǎng)的任何一個(gè)用戶賬戶，綁定到自己的手機(jī)上，并直接重置密碼。后果將是合法用戶無(wú)法再找回自己帳號(hào)所有權(quán)。

　　為了避免讓惡意用戶有機(jī)可趁，使網(wǎng)站遭受攻擊，選擇專業(yè)安全的域名注冊(cè)商是注冊(cè)域名的重要選擇。域名注冊(cè)服務(wù)商要做好信息安全工作，完善系統(tǒng)信息，規(guī)范操作行為，才能確保安全。