今年元旦，烏云在萬網(wǎng)注冊的烏云wooyun和80sec域名被劫持，嚴(yán)重的潛在風(fēng)險且故障持續(xù)時間長達24小時之久。萬網(wǎng)在1月份時被證實存在安全漏洞，若該漏洞被惡意用戶利用，騰訊、優(yōu)酷、當(dāng)當(dāng)?shù)戎T多網(wǎng)站域名DNS記錄，將被惡意篡改，后果不堪設(shè)想。

　　“手機驗證碼窮舉缺陷”是烏云一直向互聯(lián)網(wǎng)企業(yè)預(yù)警的漏洞，也正是這個漏洞，使萬網(wǎng)再一次陷入了漏洞門。

　　近日，“受害者”烏云將黑客攻擊過程進行了重現(xiàn)，還原了整個過程：

　　域名注冊商中國萬網(wǎng)客服，在未確認來電者有效身份的情況下，將網(wǎng)站對應(yīng)的用戶ID提供給惡意用戶。惡意用戶在不知道域名管理者手機的情況下，利用手機重置密碼的功能，強行修改了密碼，如此一來，任何賬號的登錄密碼，就可以被重新設(shè)置。

　　而更大的安全漏洞在于，把別人的賬號綁定上自己的手機，惡意用戶修改請求中的用戶ID，即可隨意將萬網(wǎng)的任何一個用戶賬戶，綁定到自己的手機上，并直接重置密碼。后果將是合法用戶無法再找回自己帳號所有權(quán)。

　　為了避免讓惡意用戶有機可趁，使網(wǎng)站遭受攻擊，選擇專業(yè)安全的域名注冊商是注冊域名的重要選擇。域名注冊服務(wù)商要做好信息安全工作，完善系統(tǒng)信息，規(guī)范操作行為，才能確保安全。