近日,王思聪因被换绑手机号怒怼大众点评一事引发关注。据了解,王思聪在微博发文称自己大众点评账号绑定的手机号被他人换绑,导致其无法登陆。随后大众点评向王思聪道歉并对其账号进行保护性冻结。

“用了十年的账号,突然在登录状态下被挤掉了,找客户折腾半天真的烦”“账号用了十几年,手机号突然被换,找都找不回来”……消息一出,便引发了公众对账户信息安全的广泛担忧,许多网友都表示曾有过类似遭遇。

大众点评的换绑验证机制是否存在漏洞?是否存在更安全有效的验证方式?有专家指出,无论从业务设计还是人为攻击的角度看,这都属于大众点评的安全漏洞;还有专家表示,事件本质是账户安全问题,平台应尽可能从更多维度确认账户归属。

文 / 樊文扬 尤一炜

仅输入原手机号和出生日期即可换绑

10月10日,王思聪发布微博称自己的大众点评账号“莫名其妙”地被别人改绑了手机号。“这就是上万亿市值公司的安全系统吗?莫名其妙我自己的号就能被别人改绑手机?”他写道。

随后,大众点评官博便留言向王思聪道歉,称已第一时间对相关账号予以保护性冻结。尽管如此,王思聪的这则微博仍然迅速发酵,多名网友纷纷进行了实测。

微博网友@轩宁轩Sir于11日早上实测同属美团旗下的美团App发现,在未登录的状态下,选择“手机号无法收接短信”并输入原来的手机号后,只要输入新的手机号和生日,就可以换绑手机号,还能看到美团订餐订单、买药订单、开房订单、家庭住址等私密信息。

微博网友@轩宁轩Sir实测截图:换绑需八位生日号码。

微博网友@轩宁轩Sir实测截图:换绑后可见原号各订单信息。

不过,11日下午,南都·隐私护卫队实测大众点评App,发现在选择“原手机号已不用”的情况下,要换绑手机号重新登录必须从原账号“曾在点评或美团购买过的项目(单选)”列表中选出正确选项,才能换绑成功。

南都记者实测:选择原手机号已无法使用的情形

南都记者实测:换绑需选出购买过的店铺

此后,有网友表示,美团已线上调整了账号换绑策略,将条件限制为“最近六个月修改过手机号的用户”。南都·隐私护卫队经实测发现确实如此。

南都记者实测:换绑条件已修改。

安全专家:应尽可能从多维度确认用户身份

与美团合作、为其安全应急响应寻找安全问题的信息安全团队网络尖刀向媒体表示,这一次定向攻击个别账户的情况,极有可能与“密码找回”环节有关。

网络尖刀团队负责人表示,大部分App在账户保护上都采用多重信息验证的方式,手机验证码验证是目前阶段最容易证明“你是你本人”的方式。但是如果手机号码不可用,平台则会采用实名认证、人脸识别验证等其他方式。像美团、大众点评这种不存在社交关系的App,只能以用户自留的隐私信息来作为验证手段,如身份证号、生日等等。

“现实生活中,想要获得他人手机号、出生日期等个人信息是非常容易的,更何况王思聪这种公众人物?因此,从业务设计角度来看,大众点评的产品是存在问题的。”资深安全专家张伟(化名)向南都·隐私护卫队表示。

因此,他认为,无论从业务设计还是人为攻击的角度来看,这种情况都属于大众点评的一个安全漏洞。

至于为何用户会存在不同的验证方式,张伟直言,这可能存在两种情况:第一是由于软件的版本更新,需要进一步进行业务层面的验证;第二是版本更新后软件变得更加智能。

“比如,如果用户以前的手机号在平台上曾有过业务,平台会更重视保护该用户账号的安全性,从而进行更有效的验证,这是对于老用户的运作逻辑。然而,由于新用户在平台中并未产生过相关业务数据,平台无法进行更准确的验证,就只能通过出生日期、短信等方式进行简单确认。”他解释。

另有资深安全专家李林(化名)指出,该问题的本质在于平台没有二次校验机制。“手机号失效后,平台没有更好的方式确定用户身份——严格来说,这不能算是安全漏洞。这种情况一般适用于没有二次校验机制的老用户账号,可如果新账号也可以这样进行解绑,应该就算是漏洞了。”

此外,李林认为,不同验证方式说明大众点评会根据各用户的不同情况,使用不同的安全校验方式,这恰恰是一种无奈下的精准防控。在他看来,既然本质是账户安全问题,那么解决方案就该尽可能从更多维度确认账户归属,如让用户填写使用过的设备型号、购买物品、真实姓名及解绑后手机对应的真实姓名等。

张伟也表示,安全验证方式有很多种,但在原手机号已经无法收到验证码的情况下,相对安全有效的一种就是结合线下的人工审核,这也是较为负责的一种做法。不过他也指出,对于用户量极大的平台而言,为换绑手机号进行线下人工审核是不现实的。

律师:换绑机制不合规,账号主体变更需重视

博主@轩宁轩Sir和南都·隐私护卫队的实测结果显示,在成功换绑账号后,原账号的各种订单信息都会保留。对此,张伟表示这种业务逻辑是合理的。在他看来,一般而言,账号换绑或重置密码等操作对个人来讲其安全性已经很高,也必须受到足够重视,而该事件说明大众点评在前期设计中对这一领域有所忽视。

“换绑电话后可以查看原号主所有订单信息是正常的,因为这类传统电商业务平台要保证用户使用的便捷性,这样的结果是前期账号安全措施不够完善才导致的,事实上,淘宝、支付宝等软件都是这样的业务逻辑。但如果是安全性较严的金融类平台,就可能还需进行二次校验,如人脸识别、身份证识别等。”他说。

事实上,账号被盗的情况在现实生活中并不少见,而以王思聪为代表的公众人物,其手机号、身份证号、出生日期等信息更容易被他人通过各种渠道获得,是隐私受到侵犯的重灾区。

数据安全法第27条规定,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。

网络安全法第42条规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。

那么,从法律角度看,大众点评的换绑验证功能是否合规?

在北京京师律师事务所合伙人、律师王琮玮看来,大众点评的换绑方式并不能有效保护用户账号。大众点评在为换绑手机号所采取的安全措施方面,一是未能满足网络安全法对于账号实名制的要求,用户账号很轻易就能被别人获取或冒用;二是存在账号信息泄露的风险。

“密码是平台为保护个人信息安全所采取的一种重要机制,它应该是多因素的——如将短信验证码、密保提问、生物识别等方式交叉使用。如果只通过其中一两种验证,尤其是相对比较容易被他人获取的手机号或身份证号、生日等信息就能变更账号主体,在如今网络安全风险如此之大的背景下,这种保护措施是远远不足以达到防护目的的。”她说道。

此外,王琮玮还指出,换绑账号和用户的浏览行为或者发布信息的行为不同。“主体的变更会直接涉及到一个账号和用户真实身份是否相对应的问题,同时也涉及用户帐户安全问题,这是很值得重视的。因此,我认为账号主体变更一定要采取更严格的验证手段或防护措施。”

(文中受访者张伟、李林均为化名)

声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。