11日，與美團(tuán)合作，為其安全應(yīng)急響應(yīng)尋找安全問題的信息安全團(tuán)隊(duì)網(wǎng)絡(luò)尖刀表示，根據(jù)目前了解的情況，最近并沒有發(fā)現(xiàn)美團(tuán)或大眾點(diǎn)評(píng)發(fā)生大規(guī)模群體事件。而這一次定向攻擊個(gè)別賬戶的情況，團(tuán)隊(duì)負(fù)責(zé)人表示，極有可能與“密碼找回”這個(gè)環(huán)節(jié)有關(guān)。

圖據(jù)微博

10月10日，王思聰在微博稱，自己的大眾點(diǎn)評(píng)號(hào)“莫名其妙”被別人改綁手機(jī)，并@大眾點(diǎn)評(píng)“這就是上萬億市值公司的安全系統(tǒng)嗎？”之后又再次轉(zhuǎn)發(fā)微博稱，“國(guó)家數(shù)據(jù)安全法實(shí)施后市值萬億的美團(tuán)點(diǎn)評(píng)依舊我行我素?！?/p>

10日晚間，大眾點(diǎn)評(píng)在王思聰發(fā)文微博評(píng)論回應(yīng)稱：“您好，非常抱歉給您帶來了不愉快的用戶體驗(yàn)，相關(guān)賬號(hào)已在反饋后的第一時(shí)間內(nèi)予以保護(hù)性凍結(jié)。相關(guān)問題的核查已有初步信息，我們會(huì)在私信中與您同步?！?/p>

圖據(jù)微博

截至11日下午5時(shí)，微博話題“王思聰大眾點(diǎn)評(píng)賬號(hào)手機(jī)號(hào)被改綁”的閱讀量達(dá)到13.2萬。一些網(wǎng)友表示自己也有類似的經(jīng)歷，因?yàn)榇耸逻€報(bào)過警。

網(wǎng)絡(luò)尖刀負(fù)責(zé)人曲子龍認(rèn)為，大眾點(diǎn)評(píng)在網(wǎng)頁端上的密碼找回功能是比較傳統(tǒng)的，只要輸入賬號(hào)，下一步就是輸入手機(jī)接收的驗(yàn)證碼，且沒有其它辦法。所以想要通過這里搞定王思聰賬號(hào)，除非去“劫持驗(yàn)證碼”，這個(gè)路徑實(shí)在是太難了，所以基本可以斷定，盜號(hào)一方使用了大眾點(diǎn)評(píng)移動(dòng)端APP。

大部分APP在賬戶保護(hù)上都采用多重信息驗(yàn)證的方式，在正常的用戶操作發(fā)起找回密碼、解綁手機(jī)或更改密碼等操作的時(shí)候，平臺(tái)會(huì)優(yōu)先推薦使用手機(jī)驗(yàn)證碼進(jìn)行驗(yàn)證，這個(gè)方式也確實(shí)是目前階段最容易證明“你是你本人”的最優(yōu)方式。但是如果手機(jī)號(hào)碼不可用，通過手機(jī)驗(yàn)證碼無法驗(yàn)證，平臺(tái)則會(huì)通過實(shí)名認(rèn)證（姓名及身份證）、人臉識(shí)別驗(yàn)證、社交驗(yàn)證、預(yù)留密保信息驗(yàn)證等多種方式進(jìn)行審核驗(yàn)證。其中，社交和人臉識(shí)別實(shí)名認(rèn)證安全性最高，但不是所有平臺(tái)都可以實(shí)現(xiàn)。

微信采用的是社交驗(yàn)證，而像美團(tuán)、大眾點(diǎn)評(píng)這種購物應(yīng)用并不存在社交關(guān)系，在手機(jī)不可用的情況下，就只能以用戶自留的隱私信息來作為驗(yàn)證手段，常用的“密保問題”就是：你家在哪？你男女/朋友叫啥？XXX的生日是多少？到了預(yù)留“密保問題”這個(gè)環(huán)節(jié)，就涉及到“數(shù)據(jù)泄露”的問題了。作為公眾人物，在個(gè)人隱私數(shù)據(jù)大量泄露的復(fù)雜互聯(lián)網(wǎng)環(huán)境里，找到他的身份證信息、手機(jī)號(hào)碼并不難。

【給點(diǎn)建議】

傳統(tǒng)的社交媒體登錄固然方便，但是遺留了很多問題，一旦某個(gè)平臺(tái)的賬號(hào)被盜，持有者使用這個(gè)賬號(hào)綁定的其它平臺(tái)就會(huì)集體淪陷，“所以一般我建議只綁定微信?！鼻育堈f。

至于其它的，曲子龍建議在各種APP上涉及到“密保問題”的，千萬不要填寫真實(shí)內(nèi)容，找個(gè)好記一點(diǎn)的代號(hào)會(huì)更好，比如問你出生在哪里，你填個(gè)前男/女友名字，諸如此類所問非所答的預(yù)留信息。

至于平臺(tái)方，曲子龍建議取消密保驗(yàn)證機(jī)制，盡量都升級(jí)成為人臉識(shí)別驗(yàn)證。在這方面，還需要國(guó)家有關(guān)部門的積極推動(dòng)。如果手機(jī)號(hào)無法使用，建議相關(guān)部門推出一個(gè)“認(rèn)證云”，可以通過調(diào)SDK的方式，實(shí)現(xiàn)實(shí)名信息+人臉核驗(yàn)的比對(duì)認(rèn)證，用于各平臺(tái)的業(yè)務(wù)找回邏輯。當(dāng)然，在這個(gè)基礎(chǔ)上建議再加上一個(gè)額外的“多因子認(rèn)證”方式，避免AI對(duì)抗走到了人臉冒用的新信息安全技術(shù)問題陣營(yíng)。

紅星新聞?dòng)浾?戴佳佳 實(shí)習(xí)生 郭文藝

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/