近日,有網(wǎng)友將自己手機(jī)失竊后遭遇的一系列個(gè)人信息被盜用的經(jīng)歷寫成文章,刷屏朋友圈,引發(fā)熱議。
文章中,用戶手機(jī)被盜后未及時(shí)掛失電話卡,給不法分子留下了鉆空子的空間,不法分子通過“手機(jī)號(hào)+驗(yàn)證碼”弱驗(yàn)證方式獲取某政務(wù)APP中用戶身份證號(hào)等個(gè)人重要信息,利用用戶個(gè)人信息更改了手機(jī)服務(wù)密碼,利用話術(shù)欺騙誘導(dǎo)電信企業(yè)客服人員將已掛失的電話卡進(jìn)行解掛,利用部分網(wǎng)貸平臺(tái)“找回用戶密碼”漏洞重置用戶支付密碼騙取網(wǎng)貸資金,最終造成用戶財(cái)產(chǎn)損失。
值得注意的是,當(dāng)前,使用手機(jī)短信驗(yàn)證碼驗(yàn)證用戶身份的技術(shù),被廣泛應(yīng)用于銀行金融、社交媒體、電子商務(wù)等各類移動(dòng)APP服務(wù)。然而短信作為一種2G網(wǎng)絡(luò)的通信方式,其本身安全防護(hù)等級(jí)并不高。
對(duì)此,工信部近日發(fā)文表示,建議相關(guān)單位和企業(yè)及時(shí)對(duì)數(shù)據(jù)進(jìn)行脫敏處理,并建議相關(guān)行業(yè)按照最小必要原則收集、存儲(chǔ)、使用用戶個(gè)人信息,對(duì)已收集存儲(chǔ)的用戶個(gè)人信息分級(jí)分類妥善保存。同時(shí),工信部也提醒廣大用戶及時(shí)設(shè)置SIM卡密碼,在丟失手機(jī)后應(yīng)第一時(shí)間掛失,強(qiáng)化安全風(fēng)險(xiǎn)意識(shí)。
相關(guān)業(yè)內(nèi)專家在接受人民網(wǎng)IT頻道采訪時(shí)指出,這一事件也暴露了目前網(wǎng)上APP、支付等環(huán)節(jié)過于依賴“短信驗(yàn)證”這一安全短板?;?G網(wǎng)絡(luò)的短信安全驗(yàn)證猶如“沙灘上的堡壘”,便捷之外存有安全隱患,網(wǎng)上支付平臺(tái)、APP服務(wù)提供商應(yīng)盡快堵住這一安全短板,完善用戶身份驗(yàn)證措施,以確保用戶個(gè)人信息和財(cái)產(chǎn)的安全。
網(wǎng)上支付依賴“短信驗(yàn)證”存隱患
當(dāng)前,手機(jī)已成為許多人生活工作必備品,承載了手機(jī)號(hào)碼、銀行卡信息、社交媒體賬號(hào)信息等諸多個(gè)人信息,手機(jī)對(duì)保護(hù)個(gè)人信息安全的重要性日益突出。
雖然手機(jī)丟失只是極小概率的事件,但是也給個(gè)人信息安全保護(hù)敲響了警鐘。
隨著移動(dòng)支付的普及,“短信驗(yàn)證”是目前最便捷的驗(yàn)證方式,人們只需要在手機(jī)上操作,就可以便捷快速地完成開通業(yè)務(wù)、支付款項(xiàng)等活動(dòng)。然而,科技的進(jìn)步帶來的不僅是便捷,還有安全隱患。因此手機(jī)短信驗(yàn)證碼已被廣泛應(yīng)用于各類移動(dòng)應(yīng)用、網(wǎng)站服務(wù)。用戶可以通過短信驗(yàn)證碼進(jìn)行修改密碼、修改綁定郵箱等敏感操作。
同時(shí),短信驗(yàn)證碼也能讓用戶不輸賬號(hào)密碼直接登陸。目前大多數(shù)APP,在掌握手機(jī)號(hào)碼的前提下,都可以無密碼登陸。手機(jī)只要收到系統(tǒng)發(fā)送的驗(yàn)證碼,就可以快速登陸。
對(duì)手機(jī)用戶來說,一旦短信驗(yàn)證碼內(nèi)容被外泄,不法分子就可以利用獲取的用戶手機(jī)號(hào)碼和驗(yàn)證碼登錄個(gè)人賬戶,用戶會(huì)面臨個(gè)人信息泄露甚至財(cái)產(chǎn)損失的風(fēng)險(xiǎn)。
360安全研究員俞奎認(rèn)為,從研究所得的短信驗(yàn)證碼多個(gè)攻擊角度來看,在這個(gè)案例中,存在漏洞的實(shí)體均沒有考慮手機(jī)號(hào)驗(yàn)證的可信問題,即平臺(tái)驗(yàn)證的是設(shè)備,設(shè)備在誰手中,誰就是設(shè)備的“主人”,“這種情況下,一旦手機(jī)丟失、手機(jī)卡落到不法分子手中,或手機(jī)短信驗(yàn)證碼被劫持,就可能存在身份被冒用、資金盜刷的情況”。
獨(dú)立電信分析師付亮認(rèn)為,基于2G網(wǎng)絡(luò)的短信安全驗(yàn)證猶如“沙灘上的堡壘”,便捷之外存有安全隱患,網(wǎng)上支付平臺(tái)、APP服務(wù)提供商應(yīng)盡快堵住這一安全短板,完善用戶身份驗(yàn)證措施,以確保用戶個(gè)人信息和財(cái)產(chǎn)的安全。
人民網(wǎng)IT頻道在采訪過程中,多位來自通信、安全領(lǐng)域的業(yè)內(nèi)人士均表示,目前涉及到支付確認(rèn)、修改支付密碼等高度涉及用戶資金安全的驗(yàn)證時(shí),如果僅僅是依靠短信驗(yàn)證碼來確認(rèn)用戶身份,具有一定的安全隱患,希望有關(guān)部門及網(wǎng)上支付平臺(tái)重視這個(gè)問題,尤其是網(wǎng)上支付平臺(tái)不能為了便捷而犧牲用戶的資金安全。
從技術(shù)上來說,2G的GSM網(wǎng)絡(luò)使用單向鑒權(quán)技術(shù),且短信內(nèi)容以明文形式傳輸,該缺陷由GSM設(shè)計(jì)造成,且GSM網(wǎng)絡(luò)覆蓋范圍廣,因此修復(fù)難度大、成本高。
更重要的是,對(duì)于網(wǎng)上支付平臺(tái)來說,除了短信驗(yàn)證之外,在涉及大額支付及修改用戶交易密碼等關(guān)鍵環(huán)節(jié),增加新的驗(yàn)證手段,比如引入指紋、人臉識(shí)別等方式,也刻不容緩。
用戶身份信息保護(hù)機(jī)制仍待完善
在這起案件中,不法分子在失主掛失電話卡后,利用話術(shù)欺騙誘導(dǎo)電信企業(yè)客服人員將已掛失的電話卡進(jìn)行解掛,從而獲取了某些APP的短信驗(yàn)證碼。
工信部對(duì)此強(qiáng)調(diào),要求三家基礎(chǔ)電信企業(yè)在服務(wù)密碼重置、解掛等涉及用戶身份的敏感環(huán)節(jié),在方便用戶辦理業(yè)務(wù)的同時(shí)強(qiáng)化安全防護(hù),加強(qiáng)客服人員風(fēng)險(xiǎn)防范意識(shí)培訓(xùn),警惕業(yè)務(wù)異常辦理行為。
人民網(wǎng)記者從中國電信了解到,目前,丟失手機(jī)所屬地運(yùn)營商四川電信,已經(jīng)取消了電話解掛的方式。
中國聯(lián)通則表示,為了保障用戶的信息安全和財(cái)產(chǎn)安全,將強(qiáng)化現(xiàn)有解掛流程的身份認(rèn)證。未來,用戶辦理掛失業(yè)務(wù)后,可通過兩種方式辦理解掛,一是攜帶有效證件到營業(yè)廳辦理解掛業(yè)務(wù),二是通過人證一致的活體認(rèn)證后在手廳進(jìn)行解掛操作。
同時(shí),中國聯(lián)通現(xiàn)階段暫時(shí)關(guān)閉手廳、10010人工和智能客服等渠道的解掛操作,號(hào)碼登記人需要攜帶本人有效身份證件至聯(lián)通營業(yè)廳核驗(yàn)身份信息后補(bǔ)卡或解除掛失;用戶仍可通過營業(yè)廳、手廳、10010等渠道便捷掛失。
據(jù)了解,為方便異地用戶,中國聯(lián)通已實(shí)現(xiàn)跨域服務(wù),在異地的聯(lián)通自有營業(yè)廳也可提供補(bǔ)卡/解掛失服務(wù),用戶可以選擇就近聯(lián)通自有營業(yè)廳進(jìn)行辦理。
中國移動(dòng)表示,將按工信部要求,優(yōu)化客戶服務(wù)密碼重置、解掛流程,在涉及用戶身份的敏感環(huán)節(jié)強(qiáng)化安全防護(hù),加快應(yīng)用遠(yuǎn)程人像比對(duì)身份鑒權(quán),保障客戶辦理便捷性和安全性,并進(jìn)一步強(qiáng)化信息安全防范意識(shí)宣傳,做好同類場景的客戶溝通和風(fēng)險(xiǎn)提示。
互聯(lián)網(wǎng)企業(yè)應(yīng)承擔(dān)更大安全責(zé)任
針對(duì)短信驗(yàn)證帶來的安全隱患,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)在2018年2月曾聯(lián)合多家單位發(fā)布了《網(wǎng)絡(luò)安全實(shí)踐指南——應(yīng)對(duì)截獲短信驗(yàn)證碼實(shí)施網(wǎng)絡(luò)身份假冒攻擊的技術(shù)指引》,明確指出了基于短信驗(yàn)證碼實(shí)現(xiàn)身份驗(yàn)證的安全風(fēng)險(xiǎn)現(xiàn)狀、困難點(diǎn),并給出了目前專家們認(rèn)為可行的方案。
《安全指南》建議,各移動(dòng)應(yīng)用、網(wǎng)站服務(wù)提供商對(duì)業(yè)務(wù)系統(tǒng)中短信驗(yàn)證碼的使用方式進(jìn)行摸底,例如在用戶注冊、密碼找回、資金支付等環(huán)節(jié)的短信驗(yàn)證碼使用情況,并評(píng)估相關(guān)安全風(fēng)險(xiǎn),優(yōu)化用戶身份驗(yàn)證措施。建議采用多種方式組合,加強(qiáng)安全性。
這份指南同時(shí)強(qiáng)調(diào),個(gè)人用戶應(yīng)做好手機(jī)號(hào)、身份證號(hào)、銀行卡號(hào)、支付平臺(tái)賬號(hào)等敏感信息的保護(hù)。在收到來歷不明的短信驗(yàn)證碼等異常情況時(shí),提高警惕,及時(shí)聯(lián)系相關(guān)移動(dòng)應(yīng)用、網(wǎng)站服務(wù)提供商。
專家提出,面對(duì)層出不窮的網(wǎng)絡(luò)攻擊技術(shù),互聯(lián)網(wǎng)企業(yè)更應(yīng)該有所行動(dòng),加強(qiáng)風(fēng)險(xiǎn)防范,承擔(dān)起更大的責(zé)任。
對(duì)此,人民網(wǎng)IT頻道采訪了微信、京東金融等互聯(lián)網(wǎng)企業(yè)。微信官方表示,目前微信具有“帳號(hào)保護(hù)”機(jī)制、緊急凍結(jié)功能,以及防詐騙提醒機(jī)制;同時(shí)微信支付具有一整套的安全機(jī)制和手段,包括:錢包鎖、支付密碼驗(yàn)證、終端異常判斷、交易異常實(shí)時(shí)監(jiān)控、交易攔截等。若用戶不慎丟失手機(jī),應(yīng)該第一時(shí)間撥打微信支付客服專線“95017”轉(zhuǎn)9鍵自助凍結(jié)賬戶支付能力,可有效避免資金損失。
京東金融方面表示,建議用戶及時(shí)撥打京東金融官方客服電話:95118,與官方客服取得聯(lián)系,在核實(shí)身份信息后,為用戶提供止付等動(dòng)作,協(xié)助用戶降低資金被盜風(fēng)險(xiǎn),避免資金損失。
俞奎則建議,針對(duì)這起案例中出現(xiàn)的情況,從攻擊角度來看,作為用戶可以通過以下幾個(gè)層面來安全防護(hù):
1、給手機(jī)SIM卡設(shè)置密碼,防止手機(jī)丟失后,手機(jī)卡被盜用。
2、手機(jī)丟失后,及時(shí)聯(lián)系運(yùn)營商掛失手機(jī)卡,防止手機(jī)丟失后,手機(jī)卡被盜用。
3、給手機(jī)設(shè)置復(fù)雜的解鎖密碼(超過6位的數(shù)字+字母),防止手機(jī)鎖屏密碼短期內(nèi)被破解。
4、給手機(jī)應(yīng)用設(shè)置安全鎖,防止他人獲得手機(jī)應(yīng)用內(nèi)信息。
責(zé)任編輯:趙睿
特別聲明:本網(wǎng)登載內(nèi)容出于更直觀傳遞信息之目的。該內(nèi)容版權(quán)歸原作者所有,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)。如該內(nèi)容涉及任何第三方合法權(quán)利,請(qǐng)及時(shí)與ts@hxnews.com聯(lián)系或者請(qǐng)點(diǎn)擊右側(cè)投訴按鈕,我們會(huì)及時(shí)反饋并處理完畢。
- 消除公眾對(duì)個(gè)人信息安全的疑慮需要監(jiān)管升級(jí)2020-07-16
- 去年網(wǎng)絡(luò)詐騙受害者男性超7成 專家:保護(hù)短信驗(yàn)證碼2017-01-16
- 最新國內(nèi)新聞 頻道推薦
-
數(shù)字峰會(huì)保電 我們準(zhǔn)備好了2020-10-21
- 進(jìn)入圖片頻道最新圖文
- 進(jìn)入視頻頻道最新視頻
- 一周熱點(diǎn)新聞
已有0人發(fā)表了評(píng)論