新闻分类

王思聪大众点评手机号被改绑 专家:或与身份证泄露有关

安全 作者:小诚 2021-10-13 20:44:22 阅读:

新京报贝壳财经讯(记者 罗亦丹)10月10日,王思聪民众点评账号“被换绑手机号”登上热搜,凭证王思聪在微博宣布的截图,他的民众点评账号绑定的手机号于10月9日被更新成了其他手机,对此,王思聪@民众点评称“这就是上万亿市值公司的平安系统吗?莫名其妙我自己的号就能被别人改绑手机?”对此,民众点评在王思聪发文微博谈论回应称:“您好,异常负疚给您带来了不愉快的用户体验,相关账号已在反馈后的第一时间内予以珍爱性冻结。相关问题的核查已有开端信息,我们会在私信中与您同步。”

对此,民间互联网平安组织网络尖刀首创人曲子龙对贝壳财经记者示意,最近并没有发现美团或民众点评泛起数据平安问题,在该事宜中只定向地攻击了一个账户,王思聪账号被改绑或许与美团和民众点评的“密码找回”功效相关。

盗号者通过生日换绑手机号?记者实测美团已“堵住”破绽

贝壳财经记者领会到,现在美团与民众点评使用了统一的账号系统,10月11日上午,继王思聪之后,微博网友@轩宁轩Sir登录美团账号发现,只要获得手机号和生日,就可以换绑美团APP的账号绑定手机号。

微博网友测试发现输入身份证上8位生日号码可以改绑美团账号的手机号

10月11日下昼,贝壳财经记者在美团APP上实测发现,在登录该APP时只要点击“遇到问题”后,可以选择点击“手机号无法吸收短信”选项,往后,只要输入曾经绑定的手机号,就可以举行换绑。

但需要注重的是,在王思聪事宜发生后,美团似乎对这一功效举行了“破绽弥补”,记者发现,@轩宁轩Sir举行测试时,美团APP只要求输入“无法吸收短信的手机号码”即可,随后美团提醒其输入身份证上8位生日号码,就完成了换绑操作。

但当贝壳财经记者测试时,美团在输入曾绑定的手机号时增添了一个提醒,示意“暂只支持最近6个月修悔改账号绑定手机号的用户”,而在记者填写手机号后,跳出的验证也并非生日号码,而是需要使用已经绑定的第三方账号举行验证。据领会,现在美团支持的第三方账号绑定包罗微信、QQ和新浪微博,而记者遇到的是验证微信账号。

记者实测发现美团“暂只支持最近6个月修悔改账号绑定手机号的用户”

当记者输入未绑定第三方账号的但已注册美团的手机号时,美团APP则示意“该账号不支持线上找回,是否联系客服追求辅助?”

曲子龙在10月10日使用自己账号也对美团APP举行了测试,在他的测试效果中,当举行手机换绑操作时,最后触发的验证是支付密码。

可以发现,在举行换绑操作时,美团以及民众点评APP会触发差其余验证机制,其中,第三方账号和支付密码的验证机制均较难突破。

“这件事情的焦点问题点在于,若是用户在改绑手机号时触发的验证信息是身份证号上的出生年月日,那么由于现在身份证号的泄露很严重,改绑行为就很容易操作了。”曲子龙对贝壳财经记者示意。

身份信息泄露严重是“原罪”

据领会,现在大部门的APP应用,在账户珍爱上都接纳多重信息验证的方式,在正常的用户操作提议找回密码、解绑手机或更改密码等操作的时刻,平台会优先推荐使用手机验证码举行验证,这个方式也确实是现在阶段最容易证实“你是你本人”的最优方式。然则若是手机号码不能用,通过手机验证码无法验证,平台则会通过实名认证(姓名及身份证)、人脸识别验证、社交验证、预留密保信息验证等多种方式举行审核验证。 

对此,曲子龙示意,社交和人脸识别实名认证平安性最高,但不是所有平台都可以实现。“微信接纳的正是社交验证,当用户替换装备或者替换手机号之后,微信会要求用户寻找微信密友发送特定信息以验证身份。而在其他平台,可能会要求用户提供注册时预留的私密信息作为验证。”

“微信、QQ这种社交平台通过密友关系辅助认证有先天优势,而像美团、民众点评这种购物应用并不存在社交关系,在手机不能用的情形下,就只能以用户自留的隐私信息来作为验证手段,而行业常用的手段就是:你家在哪?你男女/同伙叫啥?XXX的生日是若干?这类的‘密保问题’。密保问题这个是在WEB2.0时代就遗留下来的方式方式,早期QQ在没升级成‘密友关系辅助认证’方式之前,接纳的实在也是密保问题这样的方式。”曲子龙示意,“王思聪是个民众人物,在已往的小我私人隐私数据大量泄露的庞大互联网环境里,找到他的身份证信息、手机号码并不难,比云云前有微博泄露用户手机号通过微博名就可以查到绑定手机号的案例,王思聪是微博重度用户。”

事实上,现在身份信息泄露的案例习以为常,现在年9月,贝壳财经记者咨询黑灰产时被见告,若是已知被查询人的姓名和所在地,只要提供其本人照片,就可以查到本人身份证号,价钱为320元。而对于明星、名人的身份信息,更有不少黑灰产将其“打包出售”给粉丝。此前王思聪与孙一宁事宜发作时,甚至有好事者将疑似王思聪的微信号码放肆外传。因此,不管对于明星照样通俗人,将生日、电话等隐私信息作为平安防控措施的密保力度显然已经不够。

曲子龙建议,传统的社交媒体登录虽然利便,然则遗留了许多“供应链攻击问题”,一旦某个平台的账号被盗,用户使用这个账号绑定的其他平台就会整体陷落,“一样平常我建议只绑定微信,只要不乱去搞什么第三方挂机、清粉软件等,以微信现在的验证逻辑,被盗问题概率很低,即即是被盗找回的概率也极高,由于是常用的应用,前一秒被盗号踹下来,很快就知道出了问题。同时在种种APP上涉及‘密保问题’的,万万不要填写真实内容,这样被人盗号的概率就一下子低许多了。”

 

新京报贝壳财经记者 罗亦丹 编辑 席莉莉 校对 卢茜


图库
赞助链接
百度热搜榜
排名 热点 搜索指数