王思聪因盗号怒喷美团,万亿巨头却庇护不了用户
继10月8日市场监管总局依法对美团实施“二选一”垄断行为作出行政处罚,责令其停止违法行为,并处以2020年中国境内销售额(1147.48亿元)3%,共计34.42亿元的罚款,并被用户指出,美团APP在iOS系统中以5分钟为间隔,从凌晨到深夜持续索取定位信息的同时。日前,知名“网红”王思聪在10月10日连发两条微博称,自己的大众点评账号被人改绑手机号,并@大众点评 质问,“这就是上万亿市值公司的安全系统吗?”
对于王思聪被盗号后的吐槽,大众点评的回应不可谓不迅速且诚恳。其在微博中回复到,“您好,非常抱歉给您带来了不愉快的用户体验,相关账号已在反馈后的第一时间内予以保护性冻结。相关问题的核查已有初步信息,我们会在私信中与您同步”。据悉,目前美团方面已经上线了新的账号安全策略,并修改手机号限制为“最近6个月修改过手机号的用户”。
事实上,账号被盗并不稀奇,想必许多朋友在漫长的网上冲浪生涯中或多或少都曾遇到这个问题,只不过这一次被盗的是王思聪这样一个拥有千万粉丝的“网红”,也使得美团相对“脆弱”的账号保护体系浮出了水面。如果真的如网友所言,仅凭手机号、身份证号、消费过的订单号、生日等信息,且完全不需要动态验证码,那么美团的账号安全体系确实可能有着致命的缺陷。
通常来说,账号被盗有三种主要途径。第一种是暴力穷举/字典攻击,在互联网时代早期,以经典“123456”为代表的弱口令正是许多用户常用的密码,使得盗号者能够直接用简单粗暴的穷举法来完成盗号,甚至“有心人”在研究了网民设计密码的行为习惯和规律后,还组建了专门的“字典”。当然,伴随着互联网的发展,当各平台对密码长度和复杂度都有了更高的要求后,如今太过简单的密码往往是不会被平台验证通过的。
第二种盗号方式,则是“钓鱼”。传奇黑客凯文·米特尼克有句话很经典,那就是“相比花时间通过黑客技术来入侵系统,通过话术设置情境让某个人自动交出密码要简单很多”。而各种网络诈骗团伙骗取你的银行卡密码,往往靠的就是伪造官网或官方邮件来骗取信任。
第三种方法,是撞库。这是基于大多数用户密码趋向简单化,并且存在多个账号共用一个密码的情况,而诞生的盗号方式。不法分子利用一套已知的账号密码在不同平台进行尝试,最终筛选出有价值的账号整合成“信封’进行售卖。
既然王思聪在被盗号这件事上称大众点评是“除了恰烂钱做虚假分数还会点啥”,也这意味着其账号被盗并非是因为自己的原因,也就排除了被不法分子进行钓鱼的可能。而至于撞库这种情况的概率也很低,因为如果被撞库而被盗号,往往受到影响的账号就不止是大众点评。例如早在2015年时,网易邮箱系统数据库被黑客攻破,许多用户在一夜之间遭遇了游戏、微博、百度网盘等不同平台账号同时被盗的情况。
那么,王思聪的账号到底是怎么被盗的呢?有网友表示,只要获得手机号和生日就可以换绑手机号,然后就能看到各种美团订餐订单、买药订单、开房订单、家庭住址等私密信息。同时有其他网友透露,在修改账号密码时,美团客服给出回答是需要手机号、身份证号、消费过的订单号就可以实现,并不需要短信等动态验证方式。
换句话来说,此次被盗号或许与密码无关,而是极有可能遭遇了传说中的“社工库攻击”。事实上,社工库同样是凯文·米特尼克在《欺骗的艺术》中提出的概念,指的是社会工程学数据库(Social Engineering Database)。而所谓的社会工程学,是利用人性的弱点来体察、获取有价值信息的实践方法,是一种欺骗的艺术,并且这并非一门学科而是一个方法论。
在信息安全这一链条中,人的因素也被认为是最为薄弱的一个环节,社会工程学就是利用了人这个弱点,通过欺骗手段而入侵计算机系统的一种攻击方法。因此任你系统安全手段再严密,如果运维人员泄露了密码,这一切也就毫无意义了。
考虑到在过去十多年间,数不清的数据泄露事件后,如今在黑产行业已经形成了若干个包含大量用户数据的库,甚至有观点认为,绝大多数网民在数据隐私上基本都处于“裸奔”状态,只不过相比于其他人而言,王思聪的目标更大。而按照网友公布的美团账号保护体系显示,只要知道手机号、身份证、生日这种“有心人”很容易拿到的信息,就可以换绑手机。并且目前各大互联网平台通常都是以手机这一实质上基于实名制的因素为核心构建账号安全体系,因此手机号的变更也就意味着账号易主就在顷刻之间。
正常情况下,在互联网安全领域的默认规则,是一个账号的核心安全属性主要是两个,即登录设备和IP地址。在登陆请求发生在非常用设备或IP的情况下,互联网厂商会在业务策略层面实行“非可信验证”,而美团的问题就发生在这里,其系统并没有要求请求登陆的用户进行二次验证。
因此在这一次王思聪的大众点评账号被盗背后,一个事实也正在浮出水面,那就是除了与移动支付、互联网金融有关的互联网企业,以及在过去二十年间饱受盗号困扰的游戏厂商外,其他互联网厂商对于账号安全的重视程度,其实远没有外界想象的那么高。以美团这个市值万亿的互联网巨头为例,在需要用户证明“我是我”的时候,用的是身份证号(不是用户手持身份证的照片)、生日等很容易被泄露的信息,也并没有使用动态短信来验证。
美团对于账号安全的漠视,其实就与数日前微信为了让用户拥有“快速发图”的功能,而高强度读取用户手机相册背后的逻辑是一样的。互联网企业的思维还停留在PC互联网时代,并没有真切地意识到互联网已经成为了如今的“水煤电”,自然也就对于账号的价值有了认知偏差,他们重视用户数据却吝于保护用户账号的安全。
在过去相当长的一段时间里,为了更好的获得用户增长、更好地服务用户,互联网企业选择的是尽可能多的为用户提供更加便捷、周到的使用体验,哪怕为此而牺牲隐私和安全。然而在流量红利不再,用户开始更加关注自身隐私保护的情况下,互联网厂商的思维同样也需要进行调整,例如双因素认证等更高级别、也更繁琐的账号安全防护体系,未来势必也将被更多平台引入。
【本文图片来自网络】
推荐阅读:
下一代iPhone将换用开孔屏?这种可能性几乎为零
iPhone换用开孔屏的传言,对于苹果来说几乎没有任何可能性。
移动端的光追,如今对于三星和AMD来说都很有必要
尽管时机尚未成熟,但对于三星和AMD来说都有需求。