原標題:王思聰大衆點評手機號被改綁 專家:或與身份證泄露有關

新京報貝殼財經訊(記者 羅亦丹)10月10日,王思聰大衆點評賬號“被換綁手機號”登上熱搜,根據王思聰在微博發佈的截圖,他的大衆點評賬號綁定的手機號於10月9日被更新成了其他手機,對此,王思聰@大衆點評稱“這就是上萬億市值公司的安全系統嗎?莫名其妙我自己的號就能被別人改綁手機?”對此,大衆點評在王思聰發文微博評論回應稱:“您好,非常抱歉給您帶來了不愉快的用戶體驗,相關賬號已在反饋後的第一時間內予以保護性凍結。相關問題的核查已有初步信息,我們會在私信中與您同步。”

對此,民間互聯網安全組織網絡尖刀創始人曲子龍對貝殼財經記者表示,最近並沒有發現美團或大衆點評出現數據安全問題,在該事件中只定向地攻擊了一個賬戶,王思聰賬號被改綁或許與美團和大衆點評的“密碼找回”功能相關。

盜號者通過生日換綁手機號?記者實測美團已“堵住”漏洞

貝殼財經記者瞭解到,目前美團與大衆點評使用了統一的賬號體系,10月11日上午,繼王思聰之後,微博網友@軒寧軒Sir登錄美團賬號發現,只要獲得手機號和生日,就可以換綁美團APP的賬號綁定手機號。

微博網友測試發現輸入身份證上8位生日號碼可以改綁美團賬號的手機號

10月11日下午,貝殼財經記者在美團APP上實測發現,在登錄該APP時只要點擊“遇到問題”後,可以選擇點擊“手機號無法接收短信”選項,此後,只要輸入曾經綁定的手機號,就可以進行換綁。

但需要注意的是,在王思聰事件發生後,美團似乎對這一功能進行了“漏洞補充”,記者發現,@軒寧軒Sir進行測試時,美團APP只要求輸入“無法接收短信的手機號碼”即可,隨後美團提示其輸入身份證上8位生日號碼,就完成了換綁操作。

但當貝殼財經記者測試時,美團在輸入曾綁定的手機號時增加了一個提示,表示“暫只支持最近6個月修改過賬號綁定手機號的用戶”,而在記者填寫手機號後,跳出的驗證也並非生日號碼,而是需要使用已經綁定的第三方賬號進行驗證。據瞭解,目前美團支持的第三方賬號綁定包括微信、QQ和新浪微博,而記者遇到的是驗證微信賬號。

記者實測發現美團“暫只支持最近6個月修改過賬號綁定手機號的用戶”

當記者輸入未綁定第三方賬號的但已註冊美團的手機號時,美團APP則表示“該賬號不支持線上找回,是否聯繫客服尋求幫助?”

曲子龍在10月10日使用自己賬號也對美團APP進行了測試,在他的測試結果中,當進行手機換綁操作時,最後觸發的驗證是支付密碼。

可以發現,在進行換綁操作時,美團以及大衆點評APP會觸發不同的驗證機制,其中,第三方賬號和支付密碼的驗證機制均較難突破。

“這件事情的核心問題點在於,如果用戶在改綁手機號時觸發的驗證信息是身份證號上的出生年月日,那麼由於現在身份證號的泄露很嚴重,改綁行爲就很容易操作了。”曲子龍對貝殼財經記者表示。

身份信息泄露嚴重是“原罪”

據瞭解,現在大部分的APP應用,在賬戶保護上都採用多重信息驗證的方式,在正常的用戶操作發起找回密碼、解綁手機或更改密碼等操作的時候,平臺會優先推薦使用手機驗證碼進行驗證,這個方式也確實是目前階段最容易證明“你是你本人”的最優方式。但是如果手機號碼不可用,通過手機驗證碼無法驗證,平臺則會通過實名認證(姓名及身份證)、人臉識別驗證、社交驗證、預留密保信息驗證等多種方式進行審覈驗證。

對此,曲子龍表示,社交和人臉識別實名認證安全性最高,但不是所有平臺都可以實現。“微信採用的正是社交驗證,當用戶更換設備或者更換手機號之後,微信會要求用戶尋找微信好友發送特定信息以驗證身份。而在其他平臺,可能會要求用戶提供註冊時預留的私密信息作爲驗證。”

“微信、QQ這種社交平臺通過好友關係輔助認證有先天優勢,而像美團、大衆點評這種購物應用並不存在社交關係,在手機不可用的情況下,就只能以用戶自留的隱私信息來作爲驗證手段,而行業常用的手段就是:你家在哪?你男女/朋友叫啥?XXX的生日是多少?這類的‘密保問題’。密保問題這個是在WEB2.0時代就遺留下來的方式方法,早期QQ在沒升級成‘好友關係輔助認證’方式之前,採用的其實也是密保問題這樣的方式。”曲子龍表示,“王思聰是個公衆人物,在過去的個人隱私數據大量泄露的複雜互聯網環境裏,找到他的身份證信息、手機號碼並不難,比如此前有微博泄露用戶手機號通過微博名就可以查到綁定手機號的案例,王思聰是微博重度用戶。”

事實上,目前身份信息泄露的案例屢見不鮮,如今年9月,貝殼財經記者諮詢黑灰產時被告知,如果已知被查詢人的姓名和所在地,只要提供其本人照片,就可以查到本人身份證號,價格爲320元。而對於明星、名人的身份信息,更有不少黑灰產將其“打包出售”給粉絲。此前王思聰與孫一寧事件爆發時,甚至有好事者將疑似王思聰的微信號碼大肆外傳。因此,不管對於明星還是普通人,將生日、電話等隱私信息作爲安全防控措施的密保力度顯然已經不夠。

曲子龍建議,傳統的社交媒體登錄固然方便,但是遺留了很多“供應鏈攻擊問題”,一旦某個平臺的賬號被盜,用戶使用這個賬號綁定的其他平臺就會集體淪陷,“一般我建議只綁定微信,只要不亂去搞什麼第三方掛機、清粉軟件等,以微信目前的驗證邏輯,被盜問題概率很低,即便是被盜找回的概率也極高,因爲是常用的應用,前一秒被盜號踹下來,很快就知道出了問題。同時在各種APP上涉及‘密保問題’的,千萬不要填寫真實內容,這樣被人盜號的概率就一下子低很多了。”

新京報貝殼財經記者 羅亦丹 

相關文章