百万个冷知识百万个冷知识

百万个冷知识
一起学习百万个冷知识

王思聪大众点评手机号被改绑 专家:或与身份证泄露有关(最近王思聪怎么样)

  原副标题:雷蛇德国大众评测电话电话号码被改绑 研究者:或与身分证外泄相关

南方周末珍珠财经新闻讯(本报记者 罗亦丹)10月10日,雷蛇德国大众评测帐号“被换绑电话电话号码”荣登热搜,根据雷蛇在博客发布的截屏,他的德国大众评测帐号存取的电话电话号码于10月9日被预览成了其他智能手机,为此,雷蛇@德国大众评测称“这就是上万亿元市值公司的安全系统吗?莫名我自己的号就能被别人改绑智能手机?”为此,德国大众评测在雷蛇撰文博客文章澄清称:“谢谢,非常对不起给您带来了不融洽的采用者新体验,相关帐号已在意见反馈后的第一时间内不予预防性注销。相关难题的自查已有初步信息,我们会在朋友圈中与您并行。”

为此,民间网络安全组织网络大刀创办人乐曲龙对珍珠财经新闻本报记者则表示,前段时间并没有发现携程或德国大众评测出现信息安全难题,在该该事件中只或非地攻击了一个帐户,雷蛇帐号被改绑也许与携程和德国大众评测的“密码找回”机能相关。

  XENON通过过生日换绑电话电话号码?本报记者剖面携程已“堵上”安全漏洞

珍珠财经新闻本报记者了解到,现阶段携程与德国大众评测采用了统一的帐号体系,10月11日上午,继雷蛇之后,博客网民@轩宁轩Sir登入携程帐号辨认出,如果获得电话电话号码和过生日,就能换绑携程APP的帐号存取电话电话号码。

博客网民试验辨认出输出身分证上8位过生日电话号码能改绑携程帐号的电话电话号码

10月11日下午,珍珠财经新闻本报记者在携程APP上剖面辨认出,在登入该APP时如果点选“碰到难题”后,能选择点选“电话电话号码难以转交智能手机短信”快捷键,此后,如果输出曾经存取的电话电话号码,就能展开换绑。

但须要注意的是,在雷蛇该事件发生后,携程似乎对这一机能展开了“安全漏洞补充”,本报记者辨认出,@轩宁轩Sir展开试验时,携程APP如果求输出“难以转交智能手机短信的电话电话号码码”方可,随后携程提示信息其输出身份证上8位过生日电话号码,就完成了换绑操作。

但当珍珠财经新闻本报记者试验时,携程在输出曾存取的电话电话号码时增加了一个提示信息,则表示“暂只全力支持前段时间6个月修正过帐号存取电话电话号码的采用者”,而在本报记者核对电话电话号码后,跳脱的校正也并非过生日电话号码,而是须要采用已经存取的服务器端帐号展开校正。据了解,现阶段携程全力支持的服务器端帐号存取包括QQ、QQ和网易博客,而本报记者碰到的是校正QQ帐号。

本报记者剖面辨认出携程“暂只全力支持前段时间6个月修正过帐号存取电话电话号码的采用者”

  当本报记者输出未存取服务器端帐号的但已注册携程的电话电话号码时,携程APP则则表示“该帐号不全力支持线上找回,是否联系客服寻求帮助?”

乐曲龙在10月10日采用自己帐号也对携程APP展开了试验,在他的试验结果中,当展开智能手机换绑操作时,最后触发的校正是支付密码。

  能辨认出,在展开换绑操作时,携程以及德国大众评测APP会触发不同的校正机制,其中,服务器端帐号和支付密码的校正机制均较难突破。

“这件事情的核心难题点在于,如果采用者在改绑电话电话号码时触发的校正信息是身分证号上的出生年月日,那么由于现在身分证号的外泄很严重,改绑行为就很容易操作了。”乐曲龙对珍珠财经新闻本报记者则表示。

  身份信息外泄严重是“原罪”

据了解,现在大部分的APP应用,在账户保护上都采用多重信息校正的方式,在正常的采用者操作发起找回密码、解绑智能手机或更改密码等操作的时候,平台会优先推荐采用智能手机校正码展开校正,这个方式也确实是现阶段阶段最容易证明“你是你本人”的最优方式。但是如果电话电话号码码不可用,通过智能手机校正码难以校正,平台则会通过实名认证(姓名及身分证)、人脸识别校正、社交校正、预留密保信息校正等多种方式展开审核校正。

为此,乐曲龙则表示,社交和人脸识别实名认证安全性最高,但不是所有平台都能实现。“QQ采用的正是社交校正,当采用者更换设备或者更换电话电话号码之后,QQ会要求采用者寻找QQ好友发送特定信息以校正身份。而在其他平台,可能会要求采用者提供注册时预留的私密信息作为校正。”

“微信、QQ这种社交平台通过好友关系辅助认证有先天优势,而像携程、德国大众评测这种购物应用并不存在社交关系,在智能手机不可用的情况下,就只能以采用者自留的隐朋友圈息来作为校正手段,而行业常用的手段就是:你家在哪?你男女/朋友叫啥?XXX的过生日是多少?这类的‘密保难题’。密保难题这个是在WEB2.0时代就遗留下来的方式方法,早期QQ在没升级成‘好友关系辅助认证’方式之前,采用的其实也是密保难题这样的方式。”乐曲龙表示,“雷蛇是个公众人物,在过去的个人隐私数据大量外泄的复杂互联网环境里,找到他的身分证信息、电话电话号码码并不难,比如此前有博客外泄采用者电话电话号码通过博客名就能查到存取电话电话号码的案例,雷蛇是博客重度采用者。”

事实上,现阶段身份信息外泄的案例屡见不鲜,如今年9月,珍珠财经新闻本报记者咨询黑灰产时被告知,如果已知被查询人的姓名和所在地,如果提供其本人照片,就能查到本人身分证号,价格为320元。而对于明星、名人的身份信息,更有不少黑灰产将其“打包出售”给粉丝。此前雷蛇与孙一宁该事件爆发时,甚至有好事者将疑似雷蛇的QQ电话号码大肆外传。因此,不管对于明星还是普通人,将过生日、电话等隐朋友圈息作为安全防控措施的密保力度显然已经不够。

乐曲龙建议,传统的社交媒体登入固然方便,但是遗留了很多“供应链攻击难题”,一旦某个平台的帐号被盗,采用者采用这个帐号存取的其他平台就会集体沦陷,“一般我建议只存取QQ,如果不乱去搞什么服务器端挂机、清粉软件等,以QQ现阶段的校正逻辑,被盗难题概率很低,即便是被盗找回的概率也极高,因为是常用的应用,前一秒被盗号踹下来,很快就知道出了难题。同时在各种APP上涉及‘密保难题’的,千万不要核对真实内容,这样被人盗号的概率就一下子低很多了。”

  南方周末珍珠财经新闻本报记者 罗亦丹 

<!--article_adlist[

举报/意见反馈

]article_adlist-->
海量资讯、精准解读,尽在网易财经新闻APP

责任编辑:王珊珊

未经允许不得转载:百万个冷知识 » 王思聪大众点评手机号被改绑 专家:或与身份证泄露有关(最近王思聪怎么样)
分享到: 更多 (0)

热门推荐

百万个冷知识 带给你想要内容

联系我们