|
|
|
|
公众号矩阵

只要手机号和生日,就能换绑手机,王思聪的账号就是这样被盗的

最近,王思聪手撕了一把大众点评,其手机号莫名其妙地遭他人修改,并质疑美团系统的安全。王思聪账号的手机号,到底是怎么被修改的?是否还有其他用户的手机号被修改过?

作者:蔚可云来源:今日头条|2021-10-13 08:53

最近,王思聪手撕了一把大众点评,其手机号莫名其妙地遭他人修改,并质疑美团系统的安全。

随后,大众点评在微博下道歉并回复,已经第一时间内予以保护性冻结。

王思聪账号的手机号,到底是怎么被修改的?是否还有其他用户的手机号被修改过?

小王同学账号手机被换绑,迅速冲上了热搜,引起了诸多网友的猜测。

有人认为,小王同学账号被换绑,可能有两种情况。

第一种是利用钓鱼手段,盗取王思聪的美团账号密码, 并劫持其手机短信。这种方式几乎不可能实现。

第二种是伪造公共WiFi让小王同学连接,发动中间人攻击。当王思聪在公共场合,比如咖啡厅、餐厅使用公共WiFi,并使用美团时,攻击者就可以轻松获取其美团账户的操作权,并修改换绑手机号。

事实的真相如何呢?

真相让人大跌眼镜!不是小王同学自己换绑忘了,也不是黑客发动网络攻击,而是美团换绑手机流程中的一个漏洞。

换掉王思聪账户的手机号,操作过程相当简单,甚至不需要任何工具。

在登录账号时,选择登录界面上的“手机号无法接收短信”选项,输入曾经绑定过的手机号。

再输入身份证上的8位生日日期,即可更换新的手机号码,无需接收验证码,也无需进行人脸识别。

曾经绑定过的手机号加上生日日期,这一验证过程本相当严谨,但对于公众人物来说,略显尴尬。

只要输入曾经绑定的手机号,而不是目前绑定的手机号,如果小王同学换过多个手机号,只要有人知道其中一个,就可以顺利进行下一步操作。

而下一步操作竟然是验证生日日期……作为“国民老公”,生日日期随便就能查到。

更换绑定手机后,就可以看到各种美团订餐订单、买药、开放等信息,甚至家庭住址等信息也会被一览无余。

目前,美团已经增设了限定条件,只有最近6个月修改过账号绑定手机的用户,才能使用上述的换绑步骤。

同时在登录状态下,更换手机号需要接收新手机的验证码。

网络安全,就像是一条锁链,锁链的强度不取决于硬度最高的一环,而是取决于最弱的一环。如果整个链条都是钛合金制成,只有其中一节是回形针,整体链条的强度便等于回形针的强度。

正如小王同学所言:“美团是一家市值万亿的大公司。”一家巨头企业,在网络安全上的投入绝对不会少,技术水平也足以碾压绝大多数企业。

但就是因为这一个漏洞的出现,对美团是一个不小的打击。

某些平台也存在美团一样的问题,验证账号所有者时,只验证手机号、身份证、回答安全问题。

对于陌生人来说,绕过这些验证不太容易,但要是认识的、熟悉的人,手机号码、身份证信息实在太容易获取,特别是王思聪这样的名人,在社交网络上又这么活跃,获取信息实在太容易了。

对于换绑、解绑手机这样的场景,应该做到极致的安全,因为这种操作并非高频操作,即便操作繁琐,也不会太伤害用户体验,即便有伤害,也好过因为这一环节漏洞,让整个安全体系崩溃。

就目前技术来说,解绑手机时,使用人脸识别技术或身份认证并不难。其实主要看平台有没有这个意识加强安全防范措施。

当然,我们也要具体情况具体分析,如果平台较小,也不必采用太复杂的换绑流程。无论是网络安全,还是业务安全,亦或是其他方面的安全,归根到底还是成本的问题。

鸿蒙官方战略合作共建——HarmonyOS技术社区

【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

视频课程+更多

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微