新京報貝殼财經訊(記者 羅亦丹)10月10日,王思聰大衆點評賬号“被換綁手機号”登上熱搜,根據王思聰在微博發布的截圖,他的大衆點評賬号綁定的手機号于10月9日被更新成了其他手機,對此,王思聰@大衆點評稱“這就是上萬億市值公司的安全系統嗎?莫名其妙我自己的号就能被别人改綁手機?”對此,大衆點評在王思聰發文微博評論回應稱:“您好,非常抱歉給您帶來了不愉快的用戶體驗,相關賬号已在反饋後的第一時間内予以保護性凍結。相關問題的核查已有初步信息,我們會在私信中與您同步。”
對此,民間互聯網安全組織網絡尖刀創始人曲子龍對貝殼财經記者表示,最近并沒有發現美團或大衆點評出現數據安全問題,在該事件中隻定向地攻擊了一個賬戶,王思聰賬号被改綁或許與美團和大衆點評的“密碼找回”功能相關。
盜号者通過生日換綁手機号?記者實測美團已“堵住”漏洞
貝殼财經記者了解到,目前美團與大衆點評使用了統一的賬号體系,10月11日上午,繼王思聰之後,微博網友@軒甯軒Sir登錄美團賬号發現,隻要獲得手機号和生日,就可以換綁美團APP的賬号綁定手機号。
微博網友測試發現輸入身份證上8位生日号碼可以改綁美團賬号的手機号
10月11日下午,貝殼财經記者在美團APP上實測發現,在登錄該APP時隻要點擊“遇到問題”後,可以選擇點擊“手機号無法接收短信”選項,此後,隻要輸入曾經綁定的手機号,就可以進行換綁。
但需要注意的是,在王思聰事件發生後,美團似乎對這一功能進行了“漏洞補充”,記者發現,@軒甯軒Sir進行測試時,美團APP隻要求輸入“無法接收短信的手機号碼”即可,随後美團提示其輸入身份證上8位生日号碼,就完成了換綁操作。
但當貝殼财經記者測試時,美團在輸入曾綁定的手機号時增加了一個提示,表示“暫隻支持最近6個月修改過賬号綁定手機号的用戶”,而在記者填寫手機号後,跳出的驗證也并非生日号碼,而是需要使用已經綁定的第三方賬号進行驗證。據了解,目前美團支持的第三方賬号綁定包括微信、QQ和新浪微博,而記者遇到的是驗證微信賬号。
記者實測發現美團“暫隻支持最近6個月修改過賬号綁定手機号的用戶”
當記者輸入未綁定第三方賬号的但已注冊美團的手機号時,美團APP則表示“該賬号不支持線上找回,是否聯系客服尋求幫助?”
曲子龍在10月10日使用自己賬号也對美團APP進行了測試,在他的測試結果中,當進行手機換綁操作時,最後觸發的驗證是支付密碼。
可以發現,在進行換綁操作時,美團以及大衆點評APP會觸發不同的驗證機制,其中,第三方賬号和支付密碼的驗證機制均較難突破。
“這件事情的核心問題點在于,如果用戶在改綁手機号時觸發的驗證信息是身份證号上的出生年月日,那麼由于現在身份證号的洩露很嚴重,改綁行為就很容易操作了。”曲子龍對貝殼财經記者表示。
身份信息洩露嚴重是“原罪”
據了解,現在大部分的APP應用,在賬戶保護上都采用多重信息驗證的方式,在正常的用戶操作發起找回密碼、解綁手機或更改密碼等操作的時候,平台會優先推薦使用手機驗證碼進行驗證,這個方式也确實是目前階段最容易證明“你是你本人”的最優方式。但是如果手機号碼不可用,通過手機驗證碼無法驗證,平台則會通過實名認證(姓名及身份證)、人臉識别驗證、社交驗證、預留密保信息驗證等多種方式進行審核驗證。
對此,曲子龍表示,社交和人臉識别實名認證安全性最高,但不是所有平台都可以實現。“微信采用的正是社交驗證,當用戶更換設備或者更換手機号之後,微信會要求用戶尋找微信好友發送特定信息以驗證身份。而在其他平台,可能會要求用戶提供注冊時預留的私密信息作為驗證。”
“微信、QQ這種社交平台通過好友關系輔助認證有先天優勢,而像美團、大衆點評這種購物應用并不存在社交關系,在手機不可用的情況下,就隻能以用戶自留的隐私信息來作為驗證手段,而行業常用的手段就是:你家在哪?你男女/朋友叫啥?XXX的生日是多少?這類的‘密保問題’。密保問題這個是在WEB2.0時代就遺留下來的方式方法,早期QQ在沒升級成‘好友關系輔助認證’方式之前,采用的其實也是密保問題這樣的方式。”曲子龍表示,“王思聰是個公衆人物,在過去的個人隐私數據大量洩露的複雜互聯網環境裡,找到他的身份證信息、手機号碼并不難,比如此前有微博洩露用戶手機号通過微博名就可以查到綁定手機号的案例,王思聰是微博重度用戶。”
事實上,目前身份信息洩露的案例屢見不鮮,如今年9月,貝殼财經記者咨詢黑灰産時被告知,如果已知被查詢人的姓名和所在地,隻要提供其本人照片,就可以查到本人身份證号,價格為320元。而對于明星、名人的身份信息,更有不少黑灰産将其“打包出售”給粉絲。此前王思聰與孫一甯事件爆發時,甚至有好事者将疑似王思聰的微信号碼大肆外傳。因此,不管對于明星還是普通人,将生日、電話等隐私信息作為安全防控措施的密保力度顯然已經不夠。
曲子龍建議,傳統的社交媒體登錄固然方便,但是遺留了很多“供應鍊攻擊問題”,一旦某個平台的賬号被盜,用戶使用這個賬号綁定的其他平台就會集體淪陷,“一般我建議隻綁定微信,隻要不亂去搞什麼第三方挂機、清粉軟件等,以微信目前的驗證邏輯,被盜問題概率很低,即便是被盜找回的概率也極高,因為是常用的應用,前一秒被盜号踹下來,很快就知道出了問題。同時在各種APP上涉及‘密保問題’的,千萬不要填寫真實内容,這樣被人盜号的概率就一下子低很多了。”
新京報貝殼财經記者 羅亦丹 編輯 席莉莉 校對 盧茜
,