美团|王思聪因盗号怒喷美团,万亿巨头怎么就庇护不了用户( 二 )
那么 , 王思聪的账号到底是怎么被盗的呢?有网友表示 , 只要获得手机号和生日就可以换绑手机号 , 然后就能看到各种美团订餐订单、买药订单、开房订单、家庭住址等私密信息 。 同时有其他网友透露 , 在修改账号密码时 , 美团客服给出回答是需要手机号、身份证号、消费过的订单号就可以实现 , 并不需要短信等动态验证方式 。
换句话来说 , 此次被盗号或许与密码无关 , 而是极有可能遭遇了传说中的“社工库攻击” 。 事实上 , 社工库同样是凯文·米特尼克在《欺骗的艺术》中提出的概念 , 指的是社会工程学数据库(Social Engineering Database) 。 而所谓的社会工程学 , 是利用人性的弱点来体察、获取有价值信息的实践方法 , 是一种欺骗的艺术 , 并且这并非一门学科而是一个方法论 。
在信息安全这一链条中 , 人的因素也被认为是最为薄弱的一个环节 , 社会工程学就是利用了人这个弱点 , 通过欺骗手段而入侵计算机系统的一种攻击方法 。 因此任你系统安全手段再严密 , 如果运维人员泄露了密码 , 这一切也就毫无意义了 。
考虑到在过去十多年间 , 数不清的数据泄露事件后 , 如今在黑产行业已经形成了若干个包含大量用户数据的库 , 甚至有观点认为 , 绝大多数网民在数据隐私上基本都处于“裸奔”状态 , 只不过相比于其他人而言 , 王思聪的目标更大 。 而按照网友公布的美团账号保护体系显示 , 只要知道手机号、身份证、生日这种“有心人”很容易拿到的信息 , 就可以换绑手机 。 并且目前各大互联网平台通常都是以手机这一实质上基于实名制的因素为核心构建账号安全体系 , 因此手机号的变更也就意味着账号易主就在顷刻之间 。
正常情况下 , 在互联网安全领域的默认规则 , 是一个账号的核心安全属性主要是两个 , 即登录设备和IP地址 。 在登陆请求发生在非常用设备或IP的情况下 , 互联网厂商会在业务策略层面实行“非可信验证” , 而美团的问题就发生在这里 , 其系统并没有要求请求登陆的用户进行二次验证 。
因此在这一次王思聪的大众点评账号被盗背后 , 一个事实也正在浮出水面 , 那就是除了与移动支付、互联网金融有关的互联网企业 , 以及在过去二十年间饱受盗号困扰的游戏厂商外 , 其他互联网厂商对于账号安全的重视程度 , 其实远没有外界想象的那么高 。 以美团这个市值万亿的互联网巨头为例 , 在需要用户证明“我是我”的时候 , 用的是身份证号(不是用户手持身份证的照片)、生日等很容易被泄露的信息 , 也并没有使用动态短信来验证 。
美团对于账号安全的漠视 , 其实就与数日前微信为了让用户拥有“快速发图”的功能 , 而高强度读取用户手机相册背后的逻辑是一样的 。 互联网企业的思维还停留在PC互联网时代 , 并没有真切地意识到互联网已经成为了如今的“水煤电” , 自然也就对于账号的价值有了认知偏差 , 他们重视用户数据却吝于保护用户账号的安全 。
在过去相当长的一段时间里 , 为了更好的获得用户增长、更好地服务用户 , 互联网企业选择的是尽可能多的为用户提供更加便捷、周到的使用体验 , 哪怕为此而牺牲隐私和安全 。 然而在流量红利不再 , 用户开始更加关注自身隐私保护的情况下 , 互联网厂商的思维同样也需要进行调整 , 例如双因素认证等更高级别、也更繁琐的账号安全防护体系 , 未来势必也将被更多平台引入 。
- 任正非|假如美团外卖关闭了,对当今社会来说是利大于弊?还是弊大于利?
- 美团|做成长和生财类的付费群的经验分享
- 阿里巴巴|社区团购是互联网巨头的宝地,美团拼多多发展强劲,阿里坐不住了
- 智能手环|官方重申,要求为骑手缴纳社保,美团表示交不起,它将作何抉择?
- 阿里巴巴|Java程序员从携程、美团、阿里面试回来,这些面经分享给大家
- 工业互联网|社区团购是互联网巨头的宝地,美团拼多多发展强劲,阿里坐不住了
- 大众点评|中国在线餐饮消费投诉数据报告,美团 饿了么 大众点评被点名
- apache|如果美团外卖倒闭,对当今社会来说是利大于弊?还是弊大于利?
- 徐新|他:“反杀”资本,逼退刘强东贵人,被美团字节疯抢,让巨头掉血
- 普惠|饿了么、美团胜负已分?