新闻分类

猜猜王思聪是怎么被盗号的?

安全 作者:小诚 2021-10-13 18:44:13 阅读:

一醒悟来,发现王思聪民众点评帐号“被换绑手机号”怼上了热搜,平时网络尖刀的小伙子们也耐久在为美团平安应急响应找平安问题,对于其营业情形算是“异常领会”,凭证我们现在领会的情形,最近并没有发现美团或民众点评泛起脱裤、数据平安问题。

 

没有发生大规模群体事宜,只定向的攻击了一个账户,出于职业敏感性,让我第一时间想到了“密码找回”这个最容易被社会工程学行使的环节。

 

从那里攻破的?

 

民众点评在网页端上的密码找回功效是对照传统的,只要你输入帐号,下一步就直接让你输入手机吸收的验证码,是没有其它流程可以走的。

 

关联的美团账户系统,在网页端也是一样,输入帐号-检测平安环境,哪怕是在一个我耐久使用的电脑上这样操作:

 

然后也会直接触发验证码逻辑。

 

若是实验次数过多,还会被锁定24小时,想从这里下手险些做不到。

 

 

以是想要通过这里搞定王思聪帐号,除非去“挟制验证码”,手艺手段可以实现,然则这个成本和以王思聪经济实力,把他手机变“2G”这个路径着实是太难了,以是我们直接定位民众点评的移动端APP。

 

移动APP“手机号码无法使用”申诉流程是祸根

 

现在大部门的APP应用,在账户珍爱上都接纳多重信息验证的方式,在正常的用户操作提议找回密码、解绑手机或更改密码等操作的时刻,平台会优先推荐使用手机验证码举行验证,这个方式也确实是现在阶段最容易证实“你是你本人”的最优方式。

 

然则若是手机号码不能用,通过手机验证码无法验证,平台则会通过实名认证(姓名及身份证)、人脸识别验证、社交验证、预留密保信息验证等多种方式举行审核验证。

 

其中,社交和人脸识别实名认证平安性最高,但不是所有平台都可以实现。

微信接纳的正是社交验证,当用户替换装备或者替换手机号之后,微信会要求用户寻找微信密友发送特定信息以验证身份。而在其他平台,可能会要求用户提供注册时预留的私密信息作为验证。

 

微信/QQ这种社交平台通过密友关系辅助认证有先天优势,而像美团、民众点评这种购物应用并不存在社交关系,在手机不能用的情形下,就只能以用户自留的隐私信息来作为验证手段”,而行业常用的手段就是:你家在哪?你男女/同伙叫啥?XXX的生日是若干?这类的“密保问题”。密保问题这个是在WEB2.0时代就遗留下来的方式方式,早期QQ在没升级成“好官关系辅助认证”方式之前,接纳的实在也是密保问题这样的方式。

 

 

到了“预留信息验证”这个环节,我们就要聊聊“数据泄露”的问题了,王思聪是个民众人物,在已往的小我私人隐私数据大量泄露的庞大互联网环境里,找到他的身份证信息、手机号码并不难,好比之前云舒披露过的,微博泄露用户手机号通过微博名就可以查到绑定手机号的案例,王思聪是微博重度用户。

 

再加上他并没有牢靠的上网IP环境,整年都在移动中,现实上像王思聪这种用户“并不存在异常IP、异常登录”的风控逻辑,由于他整年都是异常。

 

若是通过这个方式,实在就很容易找到问题点。

 

看看民众点评APP当前的逻辑

 

事情已经发生了十几个小时,民众点评这边一定自己复盘已经修复了许多器械,修复了系统并不代表修复了完整的营业逻辑,另有许多痕迹是可寻的,好比在民众点评操作APP“登录遇到问题”,你会获得这个界面:

 

 

原来的找回逻辑应该涉及“人工申诉找回”,实在网页端上通过客服机械人切到

“人工服务”也有这个入口,能来佐证,通过社会工程学诱骗客服找回,实在之前其余平台也有这个案例,这个入口一定就是“培训问题”才气解决了。

 

 

我们直接选择“其他问题”,你就能看到这个稀奇有意思的找回逻辑:

 

 

注重黄色部门“替换手机号不需要原手机号接受验证码”,通过这里进去,现在的入口是关联你“SNS绑定账户”举行找回:

 

 

在我的APP上我只绑定了微信,想通过这个设施先盗走我微信再搞定民众点评,很难,然则我们看看除了绑定微信,民众点评还能绑什么?

 

 

是不是就又看到有意思的器械了呢?固然若是这帐号什么都没绑定,通已往诱骗人工客服,验证预留的:真实姓名、身份证号(甚至正反面照片)、原手机号在大数据信息泄露的时代,王思聪的这些信息并不难找。

 

最后通过美团的APP给人人录制一个组合行使,条件是必须知道对方的密保问题,有的触发“身份证上8位号码”,王思聪手机号和身份证泄露,就可以完成重置。

 

 

我的是触发对照难猜是用“支付密码”。(由于是先在美团测试的,可能由于是测试次数太多,进了风控收不到验证码了,在民众点评那里实在是一样的逻辑。

 

 

 

给点建议

 

传统的社交媒体登录虽然利便,然则遗留了许多“供应链攻击问题”,一旦某个平台的帐号被盗,你使用这个帐号绑定的其它平台就会整体陷落,以是一样平常我建议只绑定微信,只要你不乱去搞什么第三方挂机、清粉软件以WX现在的验证逻辑被盗问题概率很低,即即是被盗找回的概率也极高,由于是常用的应用前一秒被盗号踹下来,很快就知道出了问题。

 

至于其它的,建议真的不要继续使用,同时在种种APP上涉及到“密保问题”的,万万不要填写真实内容,找个好记一点的代号,好比问你出生在那里,你填个前男/女友名字,所问非所答的预留信息,一定被人社工的概率就一下子低许多了。

 

至于平台方?作废密保验证机制只管就都升级成为人脸识别验证,建议后续照样国家推动,若是手机号无法使用,真的建议一个可信的公立部门推出一个“认证云”,可以通过调SDK的方式,实现实名信息 人脸核验的比对认证,用于各平台的营业找回逻辑,固然在这个基础上要加上一个分外的“多因子认证”方式,阻止AI匹敌走到了人脸冒用的新信息平安手艺问题里。

 

 

转载须知:

 

最近半年内经常“被动采访”泛起在我绝不知情的媒体内容里,完整引用我倒是不以为有什么,然则发现许多断章取义以及添油加醋酿成“黑公关”内容的报道,希望人人相互尊重,特声明除了以下已多次互助确立信托的媒体:

 

汹涌新闻、人民网、新华网、新京报、IT时报、成都商报、重庆商报、南方都市报、梨视频、雷锋网、法制晚报、36Kr、全球时报

 

其它任何媒体引用我文章内部门内容都请与我确认授权。

 

站外完整内容转载烦请注明来自民众号:网络尖刀,作者:曲子龙,民众号内容转载,可以直接在下面留言民众号ID,我在后台开放白名单。

 

 

图库
赞助链接
百度热搜榜
排名 热点 搜索指数