聲明：該文章來(lái)自（新京報(bào)）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁(yè)加速服務(wù)。

新京報(bào)貝殼財(cái)經(jīng)訊（記者?羅亦丹）10月10日，王思聰大眾點(diǎn)評(píng)賬號(hào)“被換綁手機(jī)號(hào)”登上熱搜，根據(jù)王思聰在微博發(fā)布的截圖，他的大眾點(diǎn)評(píng)賬號(hào)綁定的手機(jī)號(hào)于10月9日被更新成了其他手機(jī)，對(duì)此，王思聰@大眾點(diǎn)評(píng)稱(chēng)“這就是上萬(wàn)億市值公司的安全系統(tǒng)嗎？莫名其妙我自己的號(hào)就能被別人改綁手機(jī)？”對(duì)此，大眾點(diǎn)評(píng)在王思聰發(fā)文微博評(píng)論回應(yīng)稱(chēng)：“您好，非常抱歉給您帶來(lái)了不愉快的用戶(hù)體驗(yàn)，相關(guān)賬號(hào)已在反饋后的第一時(shí)間內(nèi)予以保護(hù)性?xún)鼋Y(jié)。相關(guān)問(wèn)題的核查已有初步信息，我們會(huì)在私信中與您同步。”

對(duì)此，民間互聯(lián)網(wǎng)安全組織網(wǎng)絡(luò)尖刀創(chuàng)始人曲子龍對(duì)貝殼財(cái)經(jīng)記者表示，最近并沒(méi)有發(fā)現(xiàn)美團(tuán)或大眾點(diǎn)評(píng)出現(xiàn)數(shù)據(jù)安全問(wèn)題，在該事件中只定向地攻擊了一個(gè)賬戶(hù)，王思聰賬號(hào)被改綁或許與美團(tuán)和大眾點(diǎn)評(píng)的“密碼找回”功能相關(guān)。

盜號(hào)者通過(guò)生日換綁手機(jī)號(hào)？記者實(shí)測(cè)美團(tuán)已“堵住”漏洞

貝殼財(cái)經(jīng)記者了解到，目前美團(tuán)與大眾點(diǎn)評(píng)使用了統(tǒng)一的賬號(hào)體系，10月11日上午，繼王思聰之后，微博網(wǎng)友@軒寧軒Sir登錄美團(tuán)賬號(hào)發(fā)現(xiàn)，只要獲得手機(jī)號(hào)和生日，就可以換綁美團(tuán)APP的賬號(hào)綁定手機(jī)號(hào)。

微博網(wǎng)友測(cè)試發(fā)現(xiàn)輸入身份證上8位生日號(hào)碼可以改綁美團(tuán)賬號(hào)的手機(jī)號(hào)

10月11日下午，貝殼財(cái)經(jīng)記者在美團(tuán)APP上實(shí)測(cè)發(fā)現(xiàn)，在登錄該APP時(shí)只要點(diǎn)擊“遇到問(wèn)題”后，可以選擇點(diǎn)擊“手機(jī)號(hào)無(wú)法接收短信”選項(xiàng)，此后，只要輸入曾經(jīng)綁定的手機(jī)號(hào)，就可以進(jìn)行換綁。

但需要注意的是，在王思聰事件發(fā)生后，美團(tuán)似乎對(duì)這一功能進(jìn)行了“漏洞補(bǔ)充”，記者發(fā)現(xiàn)，@軒寧軒Sir進(jìn)行測(cè)試時(shí)，美團(tuán)APP只要求輸入“無(wú)法接收短信的手機(jī)號(hào)碼”即可，隨后美團(tuán)提示其輸入身份證上8位生日號(hào)碼，就完成了換綁操作。

但當(dāng)貝殼財(cái)經(jīng)記者測(cè)試時(shí)，美團(tuán)在輸入曾綁定的手機(jī)號(hào)時(shí)增加了一個(gè)提示，表示“暫只支持最近6個(gè)月修改過(guò)賬號(hào)綁定手機(jī)號(hào)的用戶(hù)”，而在記者填寫(xiě)手機(jī)號(hào)后，跳出的驗(yàn)證也并非生日號(hào)碼，而是需要使用已經(jīng)綁定的第三方賬號(hào)進(jìn)行驗(yàn)證。據(jù)了解，目前美團(tuán)支持的第三方賬號(hào)綁定包括微信、QQ和新浪微博，而記者遇到的是驗(yàn)證微信賬號(hào)。

記者實(shí)測(cè)發(fā)現(xiàn)美團(tuán)“暫只支持最近6個(gè)月修改過(guò)賬號(hào)綁定手機(jī)號(hào)的用戶(hù)”

當(dāng)記者輸入未綁定第三方賬號(hào)的但已注冊(cè)美團(tuán)的手機(jī)號(hào)時(shí)，美團(tuán)APP則表示“該賬號(hào)不支持線(xiàn)上找回，是否聯(lián)系客服尋求幫助？”

曲子龍?jiān)?0月10日使用自己賬號(hào)也對(duì)美團(tuán)APP進(jìn)行了測(cè)試，在他的測(cè)試結(jié)果中，當(dāng)進(jìn)行手機(jī)換綁操作時(shí)，最后觸發(fā)的驗(yàn)證是支付密碼。

可以發(fā)現(xiàn)，在進(jìn)行換綁操作時(shí)，美團(tuán)以及大眾點(diǎn)評(píng)APP會(huì)觸發(fā)不同的驗(yàn)證機(jī)制，其中，第三方賬號(hào)和支付密碼的驗(yàn)證機(jī)制均較難突破。

“這件事情的核心問(wèn)題點(diǎn)在于，如果用戶(hù)在改綁手機(jī)號(hào)時(shí)觸發(fā)的驗(yàn)證信息是身份證號(hào)上的出生年月日，那么由于現(xiàn)在身份證號(hào)的泄露很?chē)?yán)重，改綁行為就很容易操作了?！鼻育垖?duì)貝殼財(cái)經(jīng)記者表示。

身份信息泄露嚴(yán)重是“原罪”

據(jù)了解，現(xiàn)在大部分的APP應(yīng)用，在賬戶(hù)保護(hù)上都采用多重信息驗(yàn)證的方式，在正常的用戶(hù)操作發(fā)起找回密碼、解綁手機(jī)或更改密碼等操作的時(shí)候，平臺(tái)會(huì)優(yōu)先推薦使用手機(jī)驗(yàn)證碼進(jìn)行驗(yàn)證，這個(gè)方式也確實(shí)是目前階段最容易證明“你是你本人”的最優(yōu)方式。但是如果手機(jī)號(hào)碼不可用，通過(guò)手機(jī)驗(yàn)證碼無(wú)法驗(yàn)證，平臺(tái)則會(huì)通過(guò)實(shí)名認(rèn)證（姓名及身份證）、人臉識(shí)別驗(yàn)證、社交驗(yàn)證、預(yù)留密保信息驗(yàn)證等多種方式進(jìn)行審核驗(yàn)證。?

對(duì)此，曲子龍表示，社交和人臉識(shí)別實(shí)名認(rèn)證安全性最高，但不是所有平臺(tái)都可以實(shí)現(xiàn)?！拔⑿挪捎玫恼巧缃或?yàn)證，當(dāng)用戶(hù)更換設(shè)備或者更換手機(jī)號(hào)之后，微信會(huì)要求用戶(hù)尋找微信好友發(fā)送特定信息以驗(yàn)證身份。而在其他平臺(tái)，可能會(huì)要求用戶(hù)提供注冊(cè)時(shí)預(yù)留的私密信息作為驗(yàn)證。”

“微信、QQ這種社交平臺(tái)通過(guò)好友關(guān)系輔助認(rèn)證有先天優(yōu)勢(shì)，而像美團(tuán)、大眾點(diǎn)評(píng)這種購(gòu)物應(yīng)用并不存在社交關(guān)系，在手機(jī)不可用的情況下，就只能以用戶(hù)自留的隱私信息來(lái)作為驗(yàn)證手段，而行業(yè)常用的手段就是：你家在哪？你男女/朋友叫啥？XXX的生日是多少？這類(lèi)的‘密保問(wèn)題’。密保問(wèn)題這個(gè)是在WEB2.0時(shí)代就遺留下來(lái)的方式方法，早期QQ在沒(méi)升級(jí)成‘好友關(guān)系輔助認(rèn)證’方式之前，采用的其實(shí)也是密保問(wèn)題這樣的方式?！鼻育埍硎?，“王思聰是個(gè)公眾人物，在過(guò)去的個(gè)人隱私數(shù)據(jù)大量泄露的復(fù)雜互聯(lián)網(wǎng)環(huán)境里，找到他的身份證信息、手機(jī)號(hào)碼并不難，比如此前有微博泄露用戶(hù)手機(jī)號(hào)通過(guò)微博名就可以查到綁定手機(jī)號(hào)的案例，王思聰是微博重度用戶(hù)。”

事實(shí)上，目前身份信息泄露的案例屢見(jiàn)不鮮，如今年9月，貝殼財(cái)經(jīng)記者咨詢(xún)黑灰產(chǎn)時(shí)被告知，如果已知被查詢(xún)?nèi)说男彰退诘?，只要提供其本人照片，就可以查到本人身份證號(hào)，價(jià)格為320元。而對(duì)于明星、名人的身份信息，更有不少黑灰產(chǎn)將其“打包出售”給粉絲。此前王思聰與孫一寧事件爆發(fā)時(shí)，甚至有好事者將疑似王思聰?shù)奈⑿盘?hào)碼大肆外傳。因此，不管對(duì)于明星還是普通人，將生日、電話(huà)等隱私信息作為安全防控措施的密保力度顯然已經(jīng)不夠。

曲子龍建議，傳統(tǒng)的社交媒體登錄固然方便，但是遺留了很多“供應(yīng)鏈攻擊問(wèn)題”，一旦某個(gè)平臺(tái)的賬號(hào)被盜，用戶(hù)使用這個(gè)賬號(hào)綁定的其他平臺(tái)就會(huì)集體淪陷，“一般我建議只綁定微信，只要不亂去搞什么第三方掛機(jī)、清粉軟件等，以微信目前的驗(yàn)證邏輯，被盜問(wèn)題概率很低，即便是被盜找回的概率也極高，因?yàn)槭浅Ｓ玫膽?yīng)用，前一秒被盜號(hào)踹下來(lái)，很快就知道出了問(wèn)題。同時(shí)在各種APP上涉及‘密保問(wèn)題’的，千萬(wàn)不要填寫(xiě)真實(shí)內(nèi)容，這樣被人盜號(hào)的概率就一下子低很多了?！?/p>

?

新京報(bào)貝殼財(cái)經(jīng)記者?羅亦丹?編輯?席莉莉?校對(duì)?盧茜

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/