2022年01月05日/ 浏览 358
新京报贝壳财经讯(记者 罗亦丹)10月10日,王思聪大众点评账号“被换绑手机号”登上热搜,根据王思聪在微博发布的截图,他的大众点评账号绑定的手机号于10月9日被更新成了其他手机,对此,王思聪@大众点评称“这就是上万亿市值公司的安全系统吗?莫名其妙我自己的号就能被别人改绑手机?”对此,大众点评在王思聪发文微博评论回应称:“您好,非常抱歉给您带来了不愉快的用户体验,相关账号已在反馈后的第一时间内予以保护性冻结。相关问题的核查已有初步信息,我们会在私信中与您同步。”
对此,民间互联网安全组织网络尖刀创始人曲子龙对贝壳财经记者表示,最近并没有发现美团或大众点评出现数据安全问题,在该事件中只定向地攻击了一个账户,王思聪账号被改绑或许与美团和大众点评的“密码找回”功能相关。
盗号者通过生日换绑手机号?记者实测美团已“堵住”漏洞
贝壳财经记者了解到,目前美团与大众点评使用了统一的账号体系,10月11日上午,继王思聪之后,微博网友@轩宁轩Sir登录美团账号发现,只要获得手机号和生日,就可以换绑美团APP的账号绑定手机号。
微博网友测试发现输入身份证上8位生日号码可以改绑美团账号的手机号
10月11日下午,贝壳财经记者在美团APP上实测发现,在登录该APP时只要点击“遇到问题”后,可以选择点击“手机号无法接收短信”选项,此后,只要输入曾经绑定的手机号,就可以进行换绑。
但需要注意的是,在王思聪事件发生后,美团似乎对这一功能进行了“漏洞补充”,记者发现,@轩宁轩Sir进行测试时,美团APP只要求输入“无法接收短信的手机号码”即可,随后美团提示其输入身份证上8位生日号码,就完成了换绑操作。
但当贝壳财经记者测试时,美团在输入曾绑定的手机号时增加了一个提示,表示“暂只支持最近6个月修改过账号绑定手机号的用户”,而在记者填写手机号后,跳出的验证也并非生日号码,而是需要使用已经绑定的第三方账号进行验证。据了解,目前美团支持的第三方账号绑定包括微信、QQ和新浪微博,而记者遇到的是验证微信账号。
记者实测发现美团“暂只支持最近6个月修改过账号绑定手机号的用户”
当记者输入未绑定第三方账号的但已注册美团的手机号时,美团APP则表示“该账号不支持线上找回,是否联系客服寻求帮助?”
曲子龙在10月10日使用自己账号也对美团APP进行了测试,在他的测试结果中,当进行手机换绑操作时,最后触发的验证是支付密码。
可以发现,在进行换绑操作时,美团以及大众点评APP会触发不同的验证机制,其中,第三方账号和支付密码的验证机制均较难突破。
“这件事情的核心问题点在于,如果用户在改绑手机号时触发的验证信息是身份证号上的出生年月日,那么由于现在身份证号的泄露很严重,改绑行为就很容易操作了。”曲子龙对贝壳财经记者表示。
身份信息泄露严重是“原罪”
据了解,现在大部分的APP应用,在账户保护上都采用多重信息验证的方式,在正常的用户操作发起找回密码、解绑手机或更改密码等操作的时候,平台会优先推荐使用手机验证码进行验证,这个方式也确实是目前阶段最容易证明“你是你本人”的最优方式。但是如果手机号码不可用,通过手机验证码无法验证,平台则会通过实名认证(姓名及身份证)、人脸识别验证、社交验证、预留密保信息验证等多种方式进行审核验证。
对此,曲子龙表示,社交和人脸识别实名认证安全性最高,但不是所有平台都可以实现。“微信采用的正是社交验证,当用户更换设备或者更换手机号之后,微信会要求用户寻找微信好友发送特定信息以验证身份。而在其他平台,可能会要求用户提供注册时预留的私密信息作为验证。”
“微信、QQ这种社交平台通过好友关系辅助认证有先天优势,而像美团、大众点评这种购物应用并不存在社交关系,在手机不可用的情况下,就只能以用户自留的隐私信息来作为验证手段,而行业常用的手段就是:你家在哪?你男女/朋友叫啥?XXX的生日是多少?这类的‘密保问题’。密保问题这个是在WEB2.0时代就遗留下来的方式方法,早期QQ在没升级成‘好友关系辅助认证’方式之前,采用的其实也是密保问题这样的方式。”曲子龙表示,“王思聪是个公众人物,在过去的个人隐私数据大量泄露的复杂互联网环境里,找到他的身份证信息、手机号码并不难,比如此前有微博泄露用户手机号通过微博名就可以查到绑定手机号的案例,王思聪是微博重度用户。”
事实上,目前身份信息泄露的案例屡见不鲜,如今年9月,贝壳财经记者咨询黑灰产时被告知,如果已知被查询人的姓名和所在地,只要提供其本人照片,就可以查到本人身份证号,价格为320元。而对于明星、名人的身份信息,更有不少黑灰产将其“打包出售”给粉丝。此前王思聪与孙一宁事件爆发时,甚至有好事者将疑似王思聪的微信号码大肆外传。因此,不管对于明星还是普通人,将生日、电话等隐私信息作为安全防控措施的密保力度显然已经不够。
曲子龙建议,传统的社交媒体登录固然方便,但是遗留了很多“供应链攻击问题”,一旦某个平台的账号被盗,用户使用这个账号绑定的其他平台就会集体沦陷,“一般我建议只绑定微信,只要不乱去搞什么第三方挂机、清粉软件等,以微信目前的验证逻辑,被盗问题概率很低,即便是被盗找回的概率也极高,因为是常用的应用,前一秒被盗号踹下来,很快就知道出了问题。同时在各种APP上涉及‘密保问题’的,千万不要填写真实内容,这样被人盗号的概率就一下子低很多了。”
新京报贝壳财经记者 罗亦丹 编辑 席莉莉 校对 卢茜