SAY討論區

標題: 小心！手機遺失後的連環信息泄露 [打印本頁]

作者: freegold 時間: 2012-8-13 11:04:21 標題: 小心！手機遺失後的連環信息泄露

導語：隨著智能機的普及，越來越多的人將各種所需賬號密碼綁定到手機上，如果失竊一部手機，所帶來的波及很可能如“蝴蝶效應”一般驚人，各種賬戶、密碼都會暴露無遺。
遺失手機後，不少人煩惱的，也許隻是失去瞭一部通話工具和裡面的通訊錄，鮮有人想到，你隨之失去的，很可能還有當當、人人、新浪微博、騰訊微博、網易郵箱、支付寶、財付通……等等一系列網站的賬號和密碼。早在7月27日，曾有報道顯示以手機號碼註冊的財付通、支付寶賬戶，可以通過手機輕易修改密碼。本周《IT時報》記者繼續跟蹤調查發現，除瞭第三方支付，還有不少網站賬戶都提供手機綁定功能，且對找回、修改密碼並沒設置太多門檻，一旦用戶遺失手機，便很可能因此泄露信息。
新浪微博、人人：編輯短信就可重置密碼
時下熱門的微博、社交網站、郵箱包含著諸多個人信息，手機號碼能打開它們的大門嗎？
在新浪微博登錄頁面中，輸入手機號碼，並點擊“忘記密碼”，根據提示操作後，手機上便收到一條驗證碼，隻要在網頁上輸入驗證碼就可以重新設置密碼。騰訊微博也是如此，隻需用“密保手機”發送新的密碼到指定的號碼，便會收到一條密碼修改完成的短信，而密保手機往往就是登錄用的手機號碼。
在一些社交網站，找回密碼的過程也頗為相似。如人人網，同樣隻需用“密保手機”編輯指定的短信發送到指定的地址就可以瞭。
一些電子郵箱同樣也存在風險。比如網易的126郵箱，如果和手機號碼綁定過，既可用戶名登錄，也可直接用手機號碼登錄，同樣選擇“忘記密碼”，網易會向手機發送驗證碼進行密碼重置，然後便可以任意修改密碼瞭，而密碼更改後，手機並不會收到任何提示信息。
網易客服表示，手機號碼的確是能解開郵箱的密碼，他建議用戶最好設置多重密保，例如密保郵箱、密保卡等，來加強密碼保護。
當當網：客服透露用戶信息
《IT時報》記者在各個網站逐一嘗試的過程中發現，雖然有的賬戶信息僅通過自己操作並不能解決問題，而要尋求客服的幫助，但很多客服對用戶信息的審核也隻是走過場。
在當當網上，如果忘記密碼，需要輸入註冊時的EMAIL地址。記者致電當當網客服，表示已經忘記瞭登錄時的郵箱。該客服詢問瞭記者綁定的手機號碼和姓氏後，就直接告訴瞭記者EMAIL郵箱，甚至把記者在註冊當當時填的地址也一並報瞭出來。知道郵箱後，點擊“忘記密碼”，當當會向該郵箱發送密碼重置的郵件，通過郵件，可以重新設置密碼。而根據前文所言，如果用戶郵箱恰巧是126等可以用手機解開的郵箱，當當賬戶丟失的風險依然存在。
QQ、MSN：手機號碼不能破解信息
難道所有與手機綁定的網站都存在如此風險嗎？
QQ作為最常用的聊天工具，也有不少用戶把QQ號碼和手機綁定，QQ號被盜走的可能性有多大？記者進行瞭嘗試。在QQ安全中心的網頁裡，記者根據提示輸入瞭綁定的手機號碼和頁面上的驗證碼，通過密保手機發送短信同樣可以找回密碼，但在最終提示信息中， QQ號碼隻顯示瞭首末位數字。也就是說，即使有人拿到你的手機，修改瞭密碼，卻仍然會因為不知道QQ號碼而無法登錄。QQ客服向記者證實，僅憑手機號碼的確找不到到QQ號碼，想要找到號碼，必須通過申訴，提供該QQ的一些使用信息等。
記者用同樣的方法試著找回MSN的用戶名和密碼，也沒有成功。
當然，也有與手機號碼完全無關的網站，比如雅虎郵箱，隻能通過回答密保問題，或發郵件到關聯郵箱進行密碼重設，和手機號碼無關。
專家說法：企業應盡量杜絕管理漏洞
上海信息安全行業協會秘書長王強告訴記者，不少網站在安全技術手段方面還是比較註重的，但考慮到用戶對方便的需求，往往會在快捷和方便之間做一些取舍。“這是不少企業一直碰到的難題，太復雜，沒有用戶願意使用，而不安全，則會帶來很多後續的問題。”
支付寶相關工作人員則向記者表示，支付寶開發產品的原則，是在安全的基礎上盡量便捷，目前一些用戶碰到的安全問題，可能是因為用戶自己的使用習慣而造成，所謂的“漏洞”也要針對實際的案例才能知道究竟是什麼原因。
但王強認為，企業除瞭加強技術保障以及用戶自己要重視自我保護外，在管理上應該有不少工作可以做，“人工服務理應對用戶進行最基本審核。但像當當網的客服，僅報出一個手機號碼就告訴瞭用戶想要詢問的信息，甚至連沒詢問的信息也透露瞭，這就是管理漏洞，是不應該出現的。”
記者手記：安全模式沒有快捷鍵
快捷，我所欲也，安全，亦我所欲也。
如今不少賬戶都“聯姻”瞭，用多種方式都能登錄，比如微博，可以用郵箱、手機號、MSN等登錄，因此，隻要一個信息泄露，或許會牽扯到多個賬戶的安危。這就像一個連環套，一旦其中一環出現問題，會波及其它。在方便的同時，這樣的聯姻帶來瞭更多的擔憂和風險，甚至還可能帶來財產損失。
其實，對於用戶來說，安全與便捷的選擇題從來很好做，一定是安全最重要，尤其是一些與經濟利益相關的賬戶。而企業往往為瞭爭奪用戶，盡量縮短用戶在註冊時的“猶豫期”，而提供越來越便捷的方式，這樣，它可以向投資人說：我的用戶數是千萬級、甚至億級的。當然，這沒有錯，但最好問問自己，有沒有在尋找更快捷方式的同時，花費更多的精力在確保安全上？
驗證的時候，多填一個郵箱地址，用戶多不瞭幾秒鐘時間；客服審核的時候，多回答一個問題，會讓用戶覺得更安心。為瞭安全，這些付出還是值得的，不用任何快捷鍵。

附件: [f51yv2ucr5z03.jpg] f51yv2ucr5z03.jpg (2012-8-13 11:04:21, 0 Bytes) / 下載次數 0
http://say.go2tutor.com/forum.php?mod=attachment&aid=MTAxNzY1fGI5M2U2OTkyfDE3Nzk5NTQxMjl8MHww

作者: 尊貴的基佬 時間: 2012-8-13 15:35:52

強的很，竟然有這樣的文章

作者: skykingdom 時間: 2012-8-13 15:56:37

嚴重支持！

作者: alvinsiusiu 時間: 2012-8-13 16:00:33

回答了那麼多，沒有加分了，鬱悶。。

作者: oh~my~gag 時間: 2012-8-13 16:14:37

你喜歡貼子還是發貼子的人

作者: Some1 時間: 2012-8-13 16:33:01

沒看過比樓主發的好帖

作者: svcscgba 時間: 2012-8-14 01:38:35

對不起，我走錯地方了，呵呵

作者: 弒殺滅神 時間: 2012-8-14 03:29:22

要是文章和圖片能多一點，就好了

作者: hillmen 時間: 2012-8-14 06:14:01

人生路長，回覆常常

作者: lreneMOON 時間: 2012-8-14 08:37:54

有人看過這帖嗎

作者: kensiu123 時間: 2012-8-15 08:04:26

嚴重支持！

歡迎光臨 SAY討論區 (http://say.go2tutor.com/)