查看: 818|回復: 2

[Android] 小心！手机遗失后的连环信息泄露

27 主題	1 好友	162 積分

小學生

Rank: 2

TA的每日心情

	開心 2023-1-17 15:50

簽到天數: 463 天

[LV.9]以壇為家II

推廣值: 69
貢獻值: 0
金錢: 1569
威望: 162
主題: 27

發消息

樓主

發表於 2012-8-13 20:13:30

随着智能机的普及，越来越多的人将各种所需账号密码绑定到手机上，如果失窃一部手机，所带来的波及很可能如“蝴蝶效应”一般惊人，各种账户、密码都会暴露无遗。遗失手机后，不少人烦恼的，也许只是失去了一部通话工具和里面的通讯录，鲜有人想到，你随之失去的，很可能还有当当、人人、新浪微博、腾讯微博、网易邮箱、支付宝、财付通……等等一系列网站的账号和密码。早在7月27日，曾有报道显示以手机号码注册的财付通、支付宝账户，可以通过手机轻易修改密码。本周《IT时报》记者继续跟踪调查发现，除了第三方支付，还有不少网站账户都提供手机绑定功能，且对找回、修改密码并没设置太多门槛，一旦用户遗失手机，便很可能因此泄露信息。
新浪微博、人人：编辑短信就可重置密码
时下热门的微博、社交网站、邮箱包含着诸多个人信息，手机号码能打开它们的大门吗？
在新浪微博登录页面中，输入手机号码，并点击“忘记密码”，根据提示操作后，手机上便收到一条验证码，只要在网页上输入验证码就可以重新设置密码。腾讯微博也是如此，只需用“密保手机”发送新的密码到指定的号码，便会收到一条密码修改完成的短信，而密保手机往往就是登录用的手机号码。
在一些社交网站，找回密码的过程也颇为相似。如人人网，同样只需用“密保手机”编辑指定的短信发送到指定的地址就可以了。
一些电子邮箱同样也存在风险。比如网易的126邮箱，如果和手机号码绑定过，既可用户名登录，也可直接用手机号码登录，同样选择“忘记密码”，网易会向手机发送验证码进行密码重置，然后便可以任意修改密码了，而密码更改后，手机并不会收到任何提示信息。
网易客服表示，手机号码的确是能解开邮箱的密码，他建议用户最好设置多重密保，例如密保邮箱、密保卡等，来加强密码保护。
当当网：客服透露用户信息
《IT时报》记者在各个网站逐一尝试的过程中发现，虽然有的账户信息仅通过自己操作并不能解决问题，而要寻求客服的帮助，但很多客服对用户信息的审核也只是走过场。
在当当网上，如果忘记密码，需要输入注册时的EMAIL地址。记者致电当当网客服，表示已经忘记了登录时的邮箱。该客服询问了记者绑定的手机号码和姓氏后，就直接告诉了记者EMAIL邮箱，甚至把记者在注册当当时填的地址也一并报了出来。知道邮箱后，点击“忘记密码”，当当会向该邮箱发送密码重置的邮件，通过邮件，可以重新设置密码。而根据前文所言，如果用户邮箱恰巧是126等可以用手机解开的邮箱，当当账户丢失的风险依然存在。
QQ、MSN：手机号码不能破解信息
难道所有与手机绑定的网站都存在如此风险吗？
QQ作为最常用的聊天工具，也有不少用户把QQ号码和手机绑定，QQ号被盗走的可能性有多大？记者进行了尝试。在QQ安全中心的网页里，记者根据提示输入了绑定的手机号码和页面上的验证码，通过密保手机发送短信同样可以找回密码，但在最终提示信息中， QQ号码只显示了首末位数字。也就是说，即使有人拿到你的手机，修改了密码，却仍然会因为不知道QQ号码而无法登录。QQ客服向记者证实，仅凭手机号码的确找不到到QQ号码，想要找到号码，必须通过申诉，提供该QQ的一些使用信息等。
记者用同样的方法试着找回MSN的用户名和密码，也没有成功。
当然，也有与手机号码完全无关的网站，比如雅虎邮箱，只能通过回答密保问题，或发邮件到关联邮箱进行密码重设，和手机号码无关。
专家说法：企业应尽量杜绝管理漏洞
上海信息安全行业协会秘书长王强告诉记者，不少网站在安全技术手段方面还是比较注重的，但考虑到用户对方便的需求，往往会在快捷和方便之间做一些取舍。“这是不少企业一直碰到的难题，太复杂，没有用户愿意使用，而不安全，则会带来很多后续的问题。”
支付宝相关工作人员则向记者表示，支付宝开发产品的原则，是在安全的基础上尽量便捷，目前一些用户碰到的安全问题，可能是因为用户自己的使用习惯而造成，所谓的“漏洞”也要针对实际的案例才能知道究竟是什么原因。
但王强认为，企业除了加强技术保障以及用户自己要重视自我保护外，在管理上应该有不少工作可以做，“人工服务理应对用户进行最基本审核。但像当当网的客服，仅报出一个手机号码就告诉了用户想要询问的信息，甚至连没询问的信息也透露了，这就是管理漏洞，是不应该出现的。”
记者手记：安全模式没有快捷键
快捷，我所欲也，安全，亦我所欲也。
如今不少账户都“联姻”了，用多种方式都能登录，比如微博，可以用邮箱、手机号、MSN等登录，因此，只要一个信息泄露，或许会牵扯到多个账户的安危。这就像一个连环套，一旦其中一环出现问题，会波及其它。在方便的同时，这样的联姻带来了更多的担忧和风险，甚至还可能带来财产损失。
其实，对于用户来说，安全与便捷的选择题从来很好做，一定是安全最重要，尤其是一些与经济利益相关的账户。而企业往往为了争夺用户，尽量缩短用户在注册时的“犹豫期”，而提供越来越便捷的方式，这样，它可以向投资人说：我的用户数是千万级、甚至亿级的。当然，这没有错，但最好问问自己，有没有在寻找更快捷方式的同时，花费更多的精力在确保安全上？
验证的时候，多填一个邮箱地址，用户多不了几秒钟时间；客服审核的时候，多回答一个问题，会让用户觉得更安心。为了安全，这些付出还是值得的，不用任何快捷键。