最近,王思聪手撕了一把大众点评,其手机号莫名其妙地遭他人修改,并质疑美团系统的安全。
随后,大众点评在微博下道歉并回复,已经第一时间内予以保护性冻结。
王思聪账号的手机号,到底是怎么被修改的?是否还有其他用户的手机号被修改过?
小王同学账号手机被换绑,迅速冲上了热搜,引起了诸多网友的猜测。
有人认为,小王同学账号被换绑,可能有两种情况。
第一种是利用钓鱼手段,盗取王思聪的美团账号密码, 并劫持其手机短信。这种方式几乎不可能实现。
第二种是伪造公共WiFi让小王同学连接,发动中间人攻击。当王思聪在公共场合,比如咖啡厅、餐厅使用公共WiFi,并使用美团时,攻击者就可以轻松获取其美团账户的操作权,并修改换绑手机号。
事实的真相如何呢?
真相让人大跌眼镜!不是小王同学自己换绑忘了,也不是黑客发动网络攻击,而是美团换绑手机流程中的一个漏洞。
换掉王思聪账户的手机号,操作过程相当简单,甚至不需要任何工具。
在登录账号时,选择登录界面上的“手机号无法接收短信”选项,输入曾经绑定过的手机号。
再输入身份证上的8位生日日期,即可更换新的手机号码,无需接收验证码,也无需进行人脸识别。
曾经绑定过的手机号加上生日日期,这一验证过程本相当严谨,但对于公众人物来说,略显尴尬。
只要输入曾经绑定的手机号,而不是目前绑定的手机号,如果小王同学换过多个手机号,只要有人知道其中一个,就可以顺利进行下一步操作。
而下一步操作竟然是验证生日日期……作为“国民老公”,生日日期随便就能查到。
更换绑定手机后,就可以看到各种美团订餐订单、买药、开放等信息,甚至家庭住址等信息也会被一览无余。
目前,美团已经增设了限定条件,只有最近6个月修改过账号绑定手机的用户,才能使用上述的换绑步骤。
同时在登录状态下,更换手机号需要接收新手机的验证码。
网络安全,就像是一条锁链,锁链的强度不取决于硬度最高的一环,而是取决于最弱的一环。如果整个链条都是钛合金制成,只有其中一节是回形针,整体链条的强度便等于回形针的强度。
正如小王同学所言:“美团是一家市值万亿的大公司。”一家巨头企业,在网络安全上的投入绝对不会少,技术水平也足以碾压绝大多数企业。
但就是因为这一个漏洞的出现,对美团是一个不小的打击。
某些平台也存在美团一样的问题,验证账号所有者时,只验证手机号、身份证、回答安全问题。
对于陌生人来说,绕过这些验证不太容易,但要是认识的、熟悉的人,手机号码、身份证信息实在太容易获取,特别是王思聪这样的名人,在社交网络上又这么活跃,获取信息实在太容易了。
对于换绑、解绑手机这样的场景,应该做到极致的安全,因为这种操作并非高频操作,即便操作繁琐,也不会太伤害用户体验,即便有伤害,也好过因为这一环节漏洞,让整个安全体系崩溃。
就目前技术来说,解绑手机时,使用人脸识别技术或身份认证并不难。其实主要看平台有没有这个意识加强安全防范措施。
当然,我们也要具体情况具体分析,如果平台较小,也不必采用太复杂的换绑流程。无论是网络安全,还是业务安全,亦或是其他方面的安全,归根到底还是成本的问题。
