最近,王思聪撕掉了一条公众评论,其手机号码莫名其妙地被别人修改,并质疑美团系统的安全性。
随后,公众评论在微博下道歉并回复,并在第一时间被保护性冻结。
王思聪账号的手机号码是怎么修改的?其他用户的手机号码是否被修改?
小王同学账号手机换绑,迅速冲上热搜,引起众多网友猜测。
有人认为小王的同学账号被绑定了,可能有两种情况。
一是利用钓鱼手段窃取王思聪的美团账号密码,劫持其手机短信。这几乎是不可能的。
二是伪造公众WiFi让小王联系起来,发动中间人攻击。当王思聪在公共场所使用公共场所,如咖啡馆和餐馆时WiFi,使用美团时,攻击者可以轻松获得其美团账户的操作权,修改绑定手机号码。
真相是什么?
真相令人惊讶!不是小王同学自己换绑忘了,也不是黑客发动网络攻击,而是美团换绑手机流程中的一个漏洞。
更换王思聪账户的手机号码,操作过程相当简单,甚至不需要任何工具。
登录帐户时,选择登录界面“手机号码无法接收短信”选项,输入绑定的手机号码。
输入身份证上的8个生日日期,无需接收验证码或人脸识别即可更换新的手机号码。
绑定的手机号码和生日,这个验证过程相当严格,但对公众人物来说有点尴尬。
只要输入绑定的手机号码,而不是目前绑定的手机号码,如果王换了多个手机号码,只要有人知道其中一个,下一步就可以顺利进行。
下一步是验证生日……作为“国民老公”,可以随意找到生日日期。
更换绑定手机后,您可以看到各种美团订单、药品购买、开放等信息,甚至家庭住址等信息。
目前,美团已经增加了有限的条件。只有在过去六个月修改账户绑定手机的用户才能使用上述更改步骤。
同时,在登录状态下,更换手机号码需要接收新手机的验证码。
网络安全就像一条链。链的强度不取决于硬度最高的环,而取决于最弱的环。如果整个链条都是钛合金做的,只有一个是回形针,那么整个链条的强度就等于回形针的强度。
正如小王所说:“美团是一家市值万亿的大公司。”巨头企业在网络安全方面的投入不会减少,技术水平足以粉碎大多数企业。
但由于这一漏洞的出现,对美团来说是一个巨大的打击。
有些平台也有美团这样的问题,只验证手机号码、身份证,回答安全问题。
对于陌生人来说,绕过这些验证并不容易,但如果你认识熟悉的人,手机号码和身份证信息太容易获取,尤其是像王思聪这样的名人在社交网络上如此活跃,获取信息太容易了。
对于换绑、解绑手机等场景,要做到极端安全,因为这种操作不是高频操作,即使操作繁琐,也不会对用户体验造成太大伤害。即使有伤害,也比整个安全系统崩溃要好。
就目前的技术而言,使用人脸识别技术或身份认证并不难。事实上,这主要取决于平台是否有意识地加强安全防范措施。
当然,我们也要具体情况具体分析,如果平台较小,也不必采用太复杂的换绑流程。无论是网络安全,还是业务安全,亦或是其他方面的安全,归根到底还是成本的问题。