新京報貝殼財經(jīng)訊(記者 羅亦丹)10月10日,王思聰大眾點評賬號“被換綁手機號”登上熱搜,根據(jù)王思聰在微博發(fā)布的截圖,他的大眾點評賬號綁定的手機號于10月9日被更新成了其他手機,對此,王思聰@大眾點評稱“這就是上萬億市值公司的安全系統(tǒng)嗎?莫名其妙我自己的號就能被別人改綁手機?”對此,大眾點評在王思聰發(fā)文微博評論回應(yīng)稱:“您好,非常抱歉給您帶來了不愉快的用戶體驗,相關(guān)賬號已在反饋后的第一時間內(nèi)予以保護性凍結(jié)。相關(guān)問題的核查已有初步信息,我們會在私信中與您同步?!?br>

 

對此,民間互聯(lián)網(wǎng)安全組織網(wǎng)絡(luò)尖刀創(chuàng)始人曲子龍對貝殼財經(jīng)記者表示,最近并沒有發(fā)現(xiàn)美團或大眾點評出現(xiàn)數(shù)據(jù)安全問題,在該事件中只定向地攻擊了一個賬戶,王思聰賬號被改綁或許與美團和大眾點評的“密碼找回”功能相關(guān)。

 

盜號者通過生日換綁手機號?記者實測美團已“堵住”漏洞

 

貝殼財經(jīng)記者了解到,目前美團與大眾點評使用了統(tǒng)一的賬號體系,10月11日上午,繼王思聰之后,微博網(wǎng)友@軒寧軒Sir登錄美團賬號發(fā)現(xiàn),只要獲得手機號和生日,就可以換綁美團APP的賬號綁定手機號。

 

微博網(wǎng)友測試發(fā)現(xiàn)輸入身份證上8位生日號碼可以改綁美團賬號的手機號

 

10月11日下午,貝殼財經(jīng)記者在美團APP上實測發(fā)現(xiàn),在登錄該APP時只要點擊“遇到問題”后,可以選擇點擊“手機號無法接收短信”選項,此后,只要輸入曾經(jīng)綁定的手機號,就可以進行換綁。

 

但需要注意的是,在王思聰事件發(fā)生后,美團似乎對這一功能進行了“漏洞補充”,記者發(fā)現(xiàn),@軒寧軒Sir進行測試時,美團APP只要求輸入“無法接收短信的手機號碼”即可,隨后美團提示其輸入身份證上8位生日號碼,就完成了換綁操作。

 

但當貝殼財經(jīng)記者測試時,美團在輸入曾綁定的手機號時增加了一個提示,表示“暫只支持最近6個月修改過賬號綁定手機號的用戶”,而在記者填寫手機號后,跳出的驗證也并非生日號碼,而是需要使用已經(jīng)綁定的第三方賬號進行驗證。據(jù)了解,目前美團支持的第三方賬號綁定包括微信、QQ和新浪微博,而記者遇到的是驗證微信賬號。


記者實測發(fā)現(xiàn)美團“暫只支持最近6個月修改過賬號綁定手機號的用戶”

 

當記者輸入未綁定第三方賬號的但已注冊美團的手機號時,美團APP則表示“該賬號不支持線上找回,是否聯(lián)系客服尋求幫助?”

 

曲子龍在10月10日使用自己賬號也對美團APP進行了測試,在他的測試結(jié)果中,當進行手機換綁操作時,最后觸發(fā)的驗證是支付密碼。

 

可以發(fā)現(xiàn),在進行換綁操作時,美團以及大眾點評APP會觸發(fā)不同的驗證機制,其中,第三方賬號和支付密碼的驗證機制均較難突破。

 

“這件事情的核心問題點在于,如果用戶在改綁手機號時觸發(fā)的驗證信息是身份證號上的出生年月日,那么由于現(xiàn)在身份證號的泄露很嚴重,改綁行為就很容易操作了?!鼻育垖ω悮へ斀?jīng)記者表示。

 

身份信息泄露嚴重是“原罪”

 

據(jù)了解,現(xiàn)在大部分的APP應(yīng)用,在賬戶保護上都采用多重信息驗證的方式,在正常的用戶操作發(fā)起找回密碼、解綁手機或更改密碼等操作的時候,平臺會優(yōu)先推薦使用手機驗證碼進行驗證,這個方式也確實是目前階段最容易證明“你是你本人”的最優(yōu)方式。但是如果手機號碼不可用,通過手機驗證碼無法驗證,平臺則會通過實名認證(姓名及身份證)、人臉識別驗證、社交驗證、預(yù)留密保信息驗證等多種方式進行審核驗證。

 

對此,曲子龍表示,社交和人臉識別實名認證安全性最高,但不是所有平臺都可以實現(xiàn)?!拔⑿挪捎玫恼巧缃或炞C,當用戶更換設(shè)備或者更換手機號之后,微信會要求用戶尋找微信好友發(fā)送特定信息以驗證身份。而在其他平臺,可能會要求用戶提供注冊時預(yù)留的私密信息作為驗證。”

 

“微信、QQ這種社交平臺通過好友關(guān)系輔助認證有先天優(yōu)勢,而像美團、大眾點評這種購物應(yīng)用并不存在社交關(guān)系,在手機不可用的情況下,就只能以用戶自留的隱私信息來作為驗證手段,而行業(yè)常用的手段就是:你家在哪?你男女/朋友叫啥?XXX的生日是多少?這類的‘密保問題’。密保問題這個是在WEB2.0時代就遺留下來的方式方法,早期QQ在沒升級成‘好友關(guān)系輔助認證’方式之前,采用的其實也是密保問題這樣的方式?!鼻育埍硎?,“王思聰是個公眾人物,在過去的個人隱私數(shù)據(jù)大量泄露的復(fù)雜互聯(lián)網(wǎng)環(huán)境里,找到他的身份證信息、手機號碼并不難,比如此前有微博泄露用戶手機號通過微博名就可以查到綁定手機號的案例,王思聰是微博重度用戶?!?/p>

 

事實上,目前身份信息泄露的案例屢見不鮮,如今年9月,貝殼財經(jīng)記者咨詢黑灰產(chǎn)時被告知,如果已知被查詢?nèi)说男彰退诘兀灰峁┢浔救苏掌涂梢圆榈奖救松矸葑C號,價格為320元。而對于明星、名人的身份信息,更有不少黑灰產(chǎn)將其“打包出售”給粉絲。此前王思聰與孫一寧事件爆發(fā)時,甚至有好事者將疑似王思聰?shù)奈⑿盘柎a大肆外傳。因此,不管對于明星還是普通人,將生日、電話等隱私信息作為安全防控措施的密保力度顯然已經(jīng)不夠。

 

曲子龍建議,傳統(tǒng)的社交媒體登錄固然方便,但是遺留了很多“供應(yīng)鏈攻擊問題”,一旦某個平臺的賬號被盜,用戶使用這個賬號綁定的其他平臺就會集體淪陷,“一般我建議只綁定微信,只要不亂去搞什么第三方掛機、清粉軟件等,以微信目前的驗證邏輯,被盜問題概率很低,即便是被盜找回的概率也極高,因為是常用的應(yīng)用,前一秒被盜號踹下來,很快就知道出了問題。同時在各種APP上涉及‘密保問題’的,千萬不要填寫真實內(nèi)容,這樣被人盜號的概率就一下子低很多了?!?/p>

 

新京報貝殼財經(jīng)記者 羅亦丹 編輯 席莉莉 校對 盧茜