[[428517]]

最近，王思聰手撕了一把大眾點(diǎn)評(píng)，其手機(jī)號(hào)莫名其妙地遭他人修改，并質(zhì)疑美團(tuán)系統(tǒng)的安全。

隨后，大眾點(diǎn)評(píng)在微博下道歉并回復(fù)，已經(jīng)第一時(shí)間內(nèi)予以保護(hù)性?xún)鼋Y(jié)。

王思聰賬號(hào)的手機(jī)號(hào)，到底是怎么被修改的?是否還有其他用戶的手機(jī)號(hào)被修改過(guò)?

小王同學(xué)賬號(hào)手機(jī)被換綁，迅速?zèng)_上了熱搜，引起了諸多網(wǎng)友的猜測(cè)。

有人認(rèn)為，小王同學(xué)賬號(hào)被換綁，可能有兩種情況。

第一種是利用釣魚(yú)手段，盜取王思聰?shù)拿缊F(tuán)賬號(hào)密碼， 并劫持其手機(jī)短信。這種方式幾乎不可能實(shí)現(xiàn)。

第二種是偽造公共WiFi讓小王同學(xué)連接，發(fā)動(dòng)中間人攻擊。當(dāng)王思聰在公共場(chǎng)合，比如咖啡廳、餐廳使用公共WiFi，并使用美團(tuán)時(shí)，攻擊者就可以輕松獲取其美團(tuán)賬戶的操作權(quán)，并修改換綁手機(jī)號(hào)。

事實(shí)的真相如何呢?

真相讓人大跌眼鏡！不是小王同學(xué)自己換綁忘了，也不是黑客發(fā)動(dòng)網(wǎng)絡(luò)攻擊，而是美團(tuán)換綁手機(jī)流程中的一個(gè)漏洞。

換掉王思聰賬戶的手機(jī)號(hào)，操作過(guò)程相當(dāng)簡(jiǎn)單，甚至不需要任何工具。

在登錄賬號(hào)時(shí)，選擇登錄界面上的“手機(jī)號(hào)無(wú)法接收短信”選項(xiàng)，輸入曾經(jīng)綁定過(guò)的手機(jī)號(hào)。

再輸入身份證上的8位生日日期，即可更換新的手機(jī)號(hào)碼，無(wú)需接收驗(yàn)證碼，也無(wú)需進(jìn)行人臉識(shí)別。

曾經(jīng)綁定過(guò)的手機(jī)號(hào)加上生日日期，這一驗(yàn)證過(guò)程本相當(dāng)嚴(yán)謹(jǐn)，但對(duì)于公眾人物來(lái)說(shuō)，略顯尷尬。

只要輸入曾經(jīng)綁定的手機(jī)號(hào)，而不是目前綁定的手機(jī)號(hào)，如果小王同學(xué)換過(guò)多個(gè)手機(jī)號(hào)，只要有人知道其中一個(gè)，就可以順利進(jìn)行下一步操作。

而下一步操作竟然是驗(yàn)證生日日期……作為“國(guó)民老公”，生日日期隨便就能查到。

更換綁定手機(jī)后，就可以看到各種美團(tuán)訂餐訂單、買(mǎi)藥、開(kāi)放等信息，甚至家庭住址等信息也會(huì)被一覽無(wú)余。

目前，美團(tuán)已經(jīng)增設(shè)了限定條件，只有最近6個(gè)月修改過(guò)賬號(hào)綁定手機(jī)的用戶，才能使用上述的換綁步驟。

同時(shí)在登錄狀態(tài)下，更換手機(jī)號(hào)需要接收新手機(jī)的驗(yàn)證碼。

網(wǎng)絡(luò)安全，就像是一條鎖鏈，鎖鏈的強(qiáng)度不取決于硬度最高的一環(huán)，而是取決于最弱的一環(huán)。如果整個(gè)鏈條都是鈦合金制成，只有其中一節(jié)是回形針，整體鏈條的強(qiáng)度便等于回形針的強(qiáng)度。

[[428521]]

正如小王同學(xué)所言：“美團(tuán)是一家市值萬(wàn)億的大公司。”一家巨頭企業(yè)，在網(wǎng)絡(luò)安全上的投入絕對(duì)不會(huì)少，技術(shù)水平也足以碾壓絕大多數(shù)企業(yè)。

但就是因?yàn)檫@一個(gè)漏洞的出現(xiàn)，對(duì)美團(tuán)是一個(gè)不小的打擊。

某些平臺(tái)也存在美團(tuán)一樣的問(wèn)題，驗(yàn)證賬號(hào)所有者時(shí)，只驗(yàn)證手機(jī)號(hào)、身份證、回答安全問(wèn)題。

對(duì)于陌生人來(lái)說(shuō)，繞過(guò)這些驗(yàn)證不太容易，但要是認(rèn)識(shí)的、熟悉的人，手機(jī)號(hào)碼、身份證信息實(shí)在太容易獲取，特別是王思聰這樣的名人，在社交網(wǎng)絡(luò)上又這么活躍，獲取信息實(shí)在太容易了。

對(duì)于換綁、解綁手機(jī)這樣的場(chǎng)景，應(yīng)該做到極致的安全，因?yàn)檫@種操作并非高頻操作，即便操作繁瑣，也不會(huì)太傷害用戶體驗(yàn)，即便有傷害，也好過(guò)因?yàn)檫@一環(huán)節(jié)漏洞，讓整個(gè)安全體系崩潰。

就目前技術(shù)來(lái)說(shuō)，解綁手機(jī)時(shí)，使用人臉識(shí)別技術(shù)或身份認(rèn)證并不難。其實(shí)主要看平臺(tái)有沒(méi)有這個(gè)意識(shí)加強(qiáng)安全防范措施。

當(dāng)然，我們也要具體情況具體分析，如果平臺(tái)較小，也不必采用太復(fù)雜的換綁流程。無(wú)論是網(wǎng)絡(luò)安全，還是業(yè)務(wù)安全，亦或是其他方面的安全，歸根到底還是成本的問(wèn)題。