聲明：該文章來自（網(wǎng)絡(luò)尖刀）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁(yè)加速服務(wù)。

一覺醒來，發(fā)現(xiàn)王思聰大眾點(diǎn)評(píng)帳號(hào)“被換綁手機(jī)號(hào)”懟上了熱搜，平時(shí)網(wǎng)絡(luò)尖刀的小伙子們也長(zhǎng)期在為美團(tuán)安全應(yīng)急響應(yīng)找安全問題，對(duì)于其業(yè)務(wù)情況算是“非常了解”，根據(jù)我們目前了解的情況，最近并沒有發(fā)現(xiàn)美團(tuán)或大眾點(diǎn)評(píng)出現(xiàn)脫褲、數(shù)據(jù)安全問題。

沒有發(fā)生大規(guī)模群體事件，只定向的攻擊了一個(gè)賬戶，出于職業(yè)敏感性，讓我第一時(shí)間想到了“密碼找回”這個(gè)最容易被社會(huì)工程學(xué)利用的環(huán)節(jié)。

從哪里攻破的？

大眾點(diǎn)評(píng)在網(wǎng)頁(yè)端上的密碼找回功能是比較傳統(tǒng)的，只要你輸入帳號(hào)，下一步就直接讓你輸入手機(jī)接收的驗(yàn)證碼，是沒有其它流程可以走的。

關(guān)聯(lián)的美團(tuán)賬戶體系，在網(wǎng)頁(yè)端也是一樣，輸入帳號(hào)-檢測(cè)安全環(huán)境，哪怕是在一個(gè)我長(zhǎng)期使用的電腦上這樣操作：

然后也會(huì)直接觸發(fā)驗(yàn)證碼邏輯。

如果嘗試次數(shù)過多，還會(huì)被鎖定24小時(shí)，想從這里下手幾乎做不到。

所以想要通過這里搞定王思聰帳號(hào)，除非去“劫持驗(yàn)證碼”，技術(shù)手段可以實(shí)現(xiàn)，但是這個(gè)成本和以王思聰經(jīng)濟(jì)實(shí)力，把他手機(jī)變“2G”這個(gè)路徑實(shí)在是太難了，所以我們直接定位大眾點(diǎn)評(píng)的移動(dòng)端APP。

移動(dòng)APP“手機(jī)號(hào)碼無法使用”申訴流程是禍根

現(xiàn)在大部分的APP應(yīng)用，在賬戶保護(hù)上都采用多重信息驗(yàn)證的方式，在正常的用戶操作發(fā)起找回密碼、解綁手機(jī)或更改密碼等操作的時(shí)候，平臺(tái)會(huì)優(yōu)先推薦使用手機(jī)驗(yàn)證碼進(jìn)行驗(yàn)證，這個(gè)方式也確實(shí)是目前階段最容易證明“你是你本人”的最優(yōu)方式。

但是如果手機(jī)號(hào)碼不可用，通過手機(jī)驗(yàn)證碼無法驗(yàn)證，平臺(tái)則會(huì)通過實(shí)名認(rèn)證（姓名及身份證）、人臉識(shí)別驗(yàn)證、社交驗(yàn)證、預(yù)留密保信息驗(yàn)證等多種方式進(jìn)行審核驗(yàn)證。

其中，社交和人臉識(shí)別實(shí)名認(rèn)證安全性最高，但不是所有平臺(tái)都可以實(shí)現(xiàn)。

微信采用的正是社交驗(yàn)證，當(dāng)用戶更換設(shè)備或者更換手機(jī)號(hào)之后，微信會(huì)要求用戶尋找微信好友發(fā)送特定信息以驗(yàn)證身份。而在其他平臺(tái)，可能會(huì)要求用戶提供注冊(cè)時(shí)預(yù)留的私密信息作為驗(yàn)證。

微信/QQ這種社交平臺(tái)通過好友關(guān)系輔助認(rèn)證有先天優(yōu)勢(shì)，而像美團(tuán)、大眾點(diǎn)評(píng)這種購(gòu)物應(yīng)用并不存在社交關(guān)系，在手機(jī)不可用的情況下，就只能以用戶自留的隱私信息來作為驗(yàn)證手段”，而行業(yè)常用的手段就是：你家在哪？你男女/朋友叫啥？XXX的生日是多少？這類的“密保問題”。密保問題這個(gè)是在WEB2.0時(shí)代就遺留下來的方式方法，早期QQ在沒升級(jí)成“好官關(guān)系輔助認(rèn)證”方式之前，采用的其實(shí)也是密保問題這樣的方式。

到了“預(yù)留信息驗(yàn)證”這個(gè)環(huán)節(jié)，我們就要聊聊“數(shù)據(jù)泄露”的問題了，王思聰是個(gè)公眾人物，在過去的個(gè)人隱私數(shù)據(jù)大量泄露的復(fù)雜互聯(lián)網(wǎng)環(huán)境里，找到他的身份證信息、手機(jī)號(hào)碼并不難，比如之前云舒披露過的，微博泄露用戶手機(jī)號(hào)通過微博名就可以查到綁定手機(jī)號(hào)的案例，王思聰是微博重度用戶。

再加上他并沒有固定的上網(wǎng)IP環(huán)境，全年都在移動(dòng)中，實(shí)際上像王思聰這種用戶“并不存在異常IP、異常登錄”的風(fēng)控邏輯，因?yàn)樗甓际钱惓！?/p>

如果通過這個(gè)方式，其實(shí)就很容易找到問題點(diǎn)。

看看大眾點(diǎn)評(píng)APP當(dāng)前的邏輯

事情已經(jīng)發(fā)生了十幾個(gè)小時(shí)，大眾點(diǎn)評(píng)這邊肯定自己復(fù)盤已經(jīng)修復(fù)了很多東西，修復(fù)了系統(tǒng)并不代表修復(fù)了完整的業(yè)務(wù)邏輯，還有很多痕跡是可尋的，比如在大眾點(diǎn)評(píng)操作APP“登錄遇到問題”，你會(huì)得到這個(gè)界面：

原來的找回邏輯應(yīng)該涉及“人工申訴找回”，其實(shí)網(wǎng)頁(yè)端上通過客服機(jī)器人切到

“人工服務(wù)”也有這個(gè)入口，能來佐證，通過社會(huì)工程學(xué)欺騙客服找回，其實(shí)之前別的平臺(tái)也有這個(gè)案例，這個(gè)入口肯定就是“培訓(xùn)問題”才能解決了。

我們直接選擇“其他問題”，你就能看到這個(gè)特別有意思的找回邏輯：

注意黃色部分“更換手機(jī)號(hào)不需要原手機(jī)號(hào)接受驗(yàn)證碼”，通過這里進(jìn)去，現(xiàn)在的入口是關(guān)聯(lián)你“SNS綁定賬戶”進(jìn)行找回：

在我的APP上我只綁定了微信，想通過這個(gè)辦法先盜走我微信再搞定大眾點(diǎn)評(píng)，很難，但是我們看看除了綁定微信，大眾點(diǎn)評(píng)還能綁什么？

是不是就又看到有意思的東西了呢？當(dāng)然如果這帳號(hào)什么都沒綁定，通過去欺騙人工客服，驗(yàn)證預(yù)留的：真實(shí)姓名、身份證號(hào)（甚至正反面照片）、原手機(jī)號(hào)在大數(shù)據(jù)信息泄露的時(shí)代，王思聰?shù)倪@些信息并不難找。

最后通過美團(tuán)的APP給大家錄制一個(gè)組合利用，前提是必須知道對(duì)方的密保問題，有的觸發(fā)“身份證上8位號(hào)碼”，王思聰手機(jī)號(hào)和身份證泄露，就可以完成重置。

我的是觸發(fā)比較難猜是用“支付密碼”。（因?yàn)槭窍仍诿缊F(tuán)測(cè)試的，可能由于是測(cè)試次數(shù)太多，進(jìn)了風(fēng)控收不到驗(yàn)證碼了，在大眾點(diǎn)評(píng)那邊其實(shí)是一樣的邏輯。

給點(diǎn)建議

傳統(tǒng)的社交媒體登錄固然方便，但是遺留了很多“供應(yīng)鏈攻擊問題”，一旦某個(gè)平臺(tái)的帳號(hào)被盜，你使用這個(gè)帳號(hào)綁定的其它平臺(tái)就會(huì)集體淪陷，所以一般我建議只綁定微信，只要你不亂去搞什么第三方掛機(jī)、清粉軟件以WX目前的驗(yàn)證邏輯被盜問題概率很低，即便是被盜找回的概率也極高，因?yàn)槭浅Ｓ玫膽?yīng)用前一秒被盜號(hào)踹下來，很快就知道出了問題。

至于其它的，建議真的不要繼續(xù)使用，同時(shí)在各種APP上涉及到“密保問題”的，千萬(wàn)不要填寫真實(shí)內(nèi)容，找個(gè)好記一點(diǎn)的代號(hào)，比如問你出生在哪里，你填個(gè)前男/女友名字，所問非所答的預(yù)留信息，肯定被人社工的概率就一下子低很多了。

至于平臺(tái)方？取消密保驗(yàn)證機(jī)制盡量就都升級(jí)成為人臉識(shí)別驗(yàn)證，建議后續(xù)還是國(guó)家推動(dòng)，如果手機(jī)號(hào)無法使用，真的建議一個(gè)可信的公立部門推出一個(gè)“認(rèn)證云”，可以通過調(diào)SDK的方式，實(shí)現(xiàn)實(shí)名信息+人臉核驗(yàn)的比對(duì)認(rèn)證，用于各平臺(tái)的業(yè)務(wù)找回邏輯，當(dāng)然在這個(gè)基礎(chǔ)上要加上一個(gè)額外的“多因子認(rèn)證”方式，避免AI對(duì)抗走到了人臉冒用的新信息安全技術(shù)問題里。

轉(zhuǎn)載須知：

最近半年內(nèi)經(jīng)?！氨粍?dòng)采訪”出現(xiàn)在我毫不知情的媒體內(nèi)容里，完整引用我倒是不覺得有什么，但是發(fā)現(xiàn)很多斷章取義以及添油加醋變成“黑公關(guān)”內(nèi)容的報(bào)道，希望大家互相尊重，特聲明除了以下已多次合作建立信任的媒體：

澎湃新聞、人民網(wǎng)、新華網(wǎng)、新京報(bào)、IT時(shí)報(bào)、成都商報(bào)、重慶商報(bào)、南方都市報(bào)、梨視頻、雷鋒網(wǎng)、法制晚報(bào)、36Kr、環(huán)球時(shí)報(bào)

其它任何媒體引用我文章內(nèi)部分內(nèi)容都請(qǐng)與我確認(rèn)授權(quán)。

站外完整內(nèi)容轉(zhuǎn)載煩請(qǐng)注明來自公眾號(hào)：網(wǎng)絡(luò)尖刀，作者：曲子龍，公眾號(hào)內(nèi)容轉(zhuǎn)載，可以直接在下面留言公眾號(hào)ID，我在后臺(tái)開放白名單。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/