一觉醒来,网友发现王思聪大众点评账号“被换绑手机号”上了热搜。10月10日,王思聪在微博称,自己的大众点评号“莫名其妙”被别人改绑手机。10日晚上,大众点评回应,对给王思聪带来了不愉快的用户体验表示歉意,目前相关账号已在反馈后的第一时间内予以保护性冻结。
11日,与美团合作,为其安全应急响应寻找安全问题的信息安全团队网络尖刀表示,根据目前了解的情况,最近并没有发现美团或大众点评发生大规模群体事件。而这一次定向攻击个别账户的情况,团队负责人表示,极有可能与“密码找回”这个环节有关。
图据微博
10月10日,王思聪在微博称,自己的大众点评号“莫名其妙”被别人改绑手机,并@大众点评“这就是上万亿市值公司的安全系统吗?”之后又再次转发微博称,“国家数据安全法实施后市值万亿的美团点评依旧我行我素。”
10日晚间,大众点评在王思聪发文微博评论回应称:“您好,非常抱歉给您带来了不愉快的用户体验,相关账号已在反馈后的第一时间内予以保护性冻结。相关问题的核查已有初步信息,我们会在私信中与您同步。”
图据微博
截至11日下午5时,微博话题“王思聪大众点评账号手机号被改绑”的阅读量达到13.2万。一些网友表示自己也有类似的经历,因为此事还报过警。
网络尖刀负责人曲子龙认为,大众点评在网页端上的密码找回功能是比较传统的,只要输入账号,下一步就是输入手机接收的验证码,且没有其它办法。所以想要通过这里搞定王思聪账号,除非去“劫持验证码”,这个路径实在是太难了,所以基本可以断定,盗号一方使用了大众点评移动端APP。
大部分APP在账户保护上都采用多重信息验证的方式,在正常的用户操作发起找回密码、解绑手机或更改密码等操作的时候,平台会优先推荐使用手机验证码进行验证,这个方式也确实是目前阶段最容易证明“你是你本人”的最优方式。但是如果手机号码不可用,通过手机验证码无法验证,平台则会通过实名认证(姓名及身份证)、人脸识别验证、社交验证、预留密保信息验证等多种方式进行审核验证。其中,社交和人脸识别实名认证安全性最高,但不是所有平台都可以实现。
微信采用的是社交验证,而像美团、大众点评这种购物应用并不存在社交关系,在手机不可用的情况下,就只能以用户自留的隐私信息来作为验证手段,常用的“密保问题”就是:你家在哪?你男女/朋友叫啥?XXX的生日是多少?到了预留“密保问题”这个环节,就涉及到“数据泄露”的问题了。作为公众人物,在个人隐私数据大量泄露的复杂互联网环境里,找到他的身份证信息、手机号码并不难。
传统的社交媒体登录固然方便,但是遗留了很多问题,一旦某个平台的账号被盗,持有者使用这个账号绑定的其它平台就会集体沦陷,“所以一般我建议只绑定微信。”曲子龙说。
至于其它的,曲子龙建议在各种APP上涉及到“密保问题”的,千万不要填写真实内容,找个好记一点的代号会更好,比如问你出生在哪里,你填个前男/女友名字,诸如此类所问非所答的预留信息。
至于平台方,曲子龙建议取消密保验证机制,尽量都升级成为人脸识别验证。在这方面,还需要国家有关部门的积极推动。如果手机号无法使用,建议相关部门推出一个“认证云”,可以通过调SDK的方式,实现实名信息+人脸核验的比对认证,用于各平台的业务找回逻辑。当然,在这个基础上建议再加上一个额外的“多因子认证”方式,避免AI对抗走到了人脸冒用的新信息安全技术问题阵营。