您現(xiàn)在的位置:海峽網(wǎng)>新聞中心>國內(nèi)頻道>國內(nèi)新聞
分享

近日,有網(wǎng)友將自己手機(jī)失竊后遭遇的一系列個人信息被盜用的經(jīng)歷寫成文章,刷屏朋友圈,引發(fā)熱議。

文章中,用戶手機(jī)被盜后未及時掛失電話卡,給不法分子留下了鉆空子的空間,不法分子通過“手機(jī)號+驗(yàn)證碼”弱驗(yàn)證方式獲取某政務(wù)APP中用戶身份證號等個人重要信息,利用用戶個人信息更改了手機(jī)服務(wù)密碼,利用話術(shù)欺騙誘導(dǎo)電信企業(yè)客服人員將已掛失的電話卡進(jìn)行解掛,利用部分網(wǎng)貸平臺“找回用戶密碼”漏洞重置用戶支付密碼騙取網(wǎng)貸資金,最終造成用戶財產(chǎn)損失。

值得注意的是,當(dāng)前,使用手機(jī)短信驗(yàn)證碼驗(yàn)證用戶身份的技術(shù),被廣泛應(yīng)用于銀行金融、社交媒體、電子商務(wù)等各類移動APP服務(wù)。然而短信作為一種2G網(wǎng)絡(luò)的通信方式,其本身安全防護(hù)等級并不高。

對此,工信部近日發(fā)文表示,建議相關(guān)單位和企業(yè)及時對數(shù)據(jù)進(jìn)行脫敏處理,并建議相關(guān)行業(yè)按照最小必要原則收集、存儲、使用用戶個人信息,對已收集存儲的用戶個人信息分級分類妥善保存。同時,工信部也提醒廣大用戶及時設(shè)置SIM卡密碼,在丟失手機(jī)后應(yīng)第一時間掛失,強(qiáng)化安全風(fēng)險意識。

相關(guān)業(yè)內(nèi)專家在接受人民網(wǎng)IT頻道采訪時指出,這一事件也暴露了目前網(wǎng)上APP、支付等環(huán)節(jié)過于依賴“短信驗(yàn)證”這一安全短板?;?G網(wǎng)絡(luò)的短信安全驗(yàn)證猶如“沙灘上的堡壘”,便捷之外存有安全隱患,網(wǎng)上支付平臺、APP服務(wù)提供商應(yīng)盡快堵住這一安全短板,完善用戶身份驗(yàn)證措施,以確保用戶個人信息和財產(chǎn)的安全。

網(wǎng)上支付依賴“短信驗(yàn)證”存隱患

當(dāng)前,手機(jī)已成為許多人生活工作必備品,承載了手機(jī)號碼、銀行卡信息、社交媒體賬號信息等諸多個人信息,手機(jī)對保護(hù)個人信息安全的重要性日益突出。

雖然手機(jī)丟失只是極小概率的事件,但是也給個人信息安全保護(hù)敲響了警鐘。

隨著移動支付的普及,“短信驗(yàn)證”是目前最便捷的驗(yàn)證方式,人們只需要在手機(jī)上操作,就可以便捷快速地完成開通業(yè)務(wù)、支付款項(xiàng)等活動。然而,科技的進(jìn)步帶來的不僅是便捷,還有安全隱患。因此手機(jī)短信驗(yàn)證碼已被廣泛應(yīng)用于各類移動應(yīng)用、網(wǎng)站服務(wù)。用戶可以通過短信驗(yàn)證碼進(jìn)行修改密碼、修改綁定郵箱等敏感操作。

同時,短信驗(yàn)證碼也能讓用戶不輸賬號密碼直接登陸。目前大多數(shù)APP,在掌握手機(jī)號碼的前提下,都可以無密碼登陸。手機(jī)只要收到系統(tǒng)發(fā)送的驗(yàn)證碼,就可以快速登陸。

對手機(jī)用戶來說,一旦短信驗(yàn)證碼內(nèi)容被外泄,不法分子就可以利用獲取的用戶手機(jī)號碼和驗(yàn)證碼登錄個人賬戶,用戶會面臨個人信息泄露甚至財產(chǎn)損失的風(fēng)險。

360安全研究員俞奎認(rèn)為,從研究所得的短信驗(yàn)證碼多個攻擊角度來看,在這個案例中,存在漏洞的實(shí)體均沒有考慮手機(jī)號驗(yàn)證的可信問題,即平臺驗(yàn)證的是設(shè)備,設(shè)備在誰手中,誰就是設(shè)備的“主人”,“這種情況下,一旦手機(jī)丟失、手機(jī)卡落到不法分子手中,或手機(jī)短信驗(yàn)證碼被劫持,就可能存在身份被冒用、資金盜刷的情況”。

獨(dú)立電信分析師付亮認(rèn)為,基于2G網(wǎng)絡(luò)的短信安全驗(yàn)證猶如“沙灘上的堡壘”,便捷之外存有安全隱患,網(wǎng)上支付平臺、APP服務(wù)提供商應(yīng)盡快堵住這一安全短板,完善用戶身份驗(yàn)證措施,以確保用戶個人信息和財產(chǎn)的安全。

人民網(wǎng)IT頻道在采訪過程中,多位來自通信、安全領(lǐng)域的業(yè)內(nèi)人士均表示,目前涉及到支付確認(rèn)、修改支付密碼等高度涉及用戶資金安全的驗(yàn)證時,如果僅僅是依靠短信驗(yàn)證碼來確認(rèn)用戶身份,具有一定的安全隱患,希望有關(guān)部門及網(wǎng)上支付平臺重視這個問題,尤其是網(wǎng)上支付平臺不能為了便捷而犧牲用戶的資金安全。

從技術(shù)上來說,2G的GSM網(wǎng)絡(luò)使用單向鑒權(quán)技術(shù),且短信內(nèi)容以明文形式傳輸,該缺陷由GSM設(shè)計造成,且GSM網(wǎng)絡(luò)覆蓋范圍廣,因此修復(fù)難度大、成本高。

更重要的是,對于網(wǎng)上支付平臺來說,除了短信驗(yàn)證之外,在涉及大額支付及修改用戶交易密碼等關(guān)鍵環(huán)節(jié),增加新的驗(yàn)證手段,比如引入指紋、人臉識別等方式,也刻不容緩。

用戶身份信息保護(hù)機(jī)制仍待完善

在這起案件中,不法分子在失主掛失電話卡后,利用話術(shù)欺騙誘導(dǎo)電信企業(yè)客服人員將已掛失的電話卡進(jìn)行解掛,從而獲取了某些APP的短信驗(yàn)證碼。

工信部對此強(qiáng)調(diào),要求三家基礎(chǔ)電信企業(yè)在服務(wù)密碼重置、解掛等涉及用戶身份的敏感環(huán)節(jié),在方便用戶辦理業(yè)務(wù)的同時強(qiáng)化安全防護(hù),加強(qiáng)客服人員風(fēng)險防范意識培訓(xùn),警惕業(yè)務(wù)異常辦理行為。

人民網(wǎng)記者從中國電信了解到,目前,丟失手機(jī)所屬地運(yùn)營商四川電信,已經(jīng)取消了電話解掛的方式。

中國聯(lián)通則表示,為了保障用戶的信息安全和財產(chǎn)安全,將強(qiáng)化現(xiàn)有解掛流程的身份認(rèn)證。未來,用戶辦理掛失業(yè)務(wù)后,可通過兩種方式辦理解掛,一是攜帶有效證件到營業(yè)廳辦理解掛業(yè)務(wù),二是通過人證一致的活體認(rèn)證后在手廳進(jìn)行解掛操作。

同時,中國聯(lián)通現(xiàn)階段暫時關(guān)閉手廳、10010人工和智能客服等渠道的解掛操作,號碼登記人需要攜帶本人有效身份證件至聯(lián)通營業(yè)廳核驗(yàn)身份信息后補(bǔ)卡或解除掛失;用戶仍可通過營業(yè)廳、手廳、10010等渠道便捷掛失。

據(jù)了解,為方便異地用戶,中國聯(lián)通已實(shí)現(xiàn)跨域服務(wù),在異地的聯(lián)通自有營業(yè)廳也可提供補(bǔ)卡/解掛失服務(wù),用戶可以選擇就近聯(lián)通自有營業(yè)廳進(jìn)行辦理。

中國移動表示,將按工信部要求,優(yōu)化客戶服務(wù)密碼重置、解掛流程,在涉及用戶身份的敏感環(huán)節(jié)強(qiáng)化安全防護(hù),加快應(yīng)用遠(yuǎn)程人像比對身份鑒權(quán),保障客戶辦理便捷性和安全性,并進(jìn)一步強(qiáng)化信息安全防范意識宣傳,做好同類場景的客戶溝通和風(fēng)險提示。

互聯(lián)網(wǎng)企業(yè)應(yīng)承擔(dān)更大安全責(zé)任

針對短信驗(yàn)證帶來的安全隱患,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會在2018年2月曾聯(lián)合多家單位發(fā)布了《網(wǎng)絡(luò)安全實(shí)踐指南——應(yīng)對截獲短信驗(yàn)證碼實(shí)施網(wǎng)絡(luò)身份假冒攻擊的技術(shù)指引》,明確指出了基于短信驗(yàn)證碼實(shí)現(xiàn)身份驗(yàn)證的安全風(fēng)險現(xiàn)狀、困難點(diǎn),并給出了目前專家們認(rèn)為可行的方案。

《安全指南》建議,各移動應(yīng)用、網(wǎng)站服務(wù)提供商對業(yè)務(wù)系統(tǒng)中短信驗(yàn)證碼的使用方式進(jìn)行摸底,例如在用戶注冊、密碼找回、資金支付等環(huán)節(jié)的短信驗(yàn)證碼使用情況,并評估相關(guān)安全風(fēng)險,優(yōu)化用戶身份驗(yàn)證措施。建議采用多種方式組合,加強(qiáng)安全性。

這份指南同時強(qiáng)調(diào),個人用戶應(yīng)做好手機(jī)號、身份證號、銀行卡號、支付平臺賬號等敏感信息的保護(hù)。在收到來歷不明的短信驗(yàn)證碼等異常情況時,提高警惕,及時聯(lián)系相關(guān)移動應(yīng)用、網(wǎng)站服務(wù)提供商。

專家提出,面對層出不窮的網(wǎng)絡(luò)攻擊技術(shù),互聯(lián)網(wǎng)企業(yè)更應(yīng)該有所行動,加強(qiáng)風(fēng)險防范,承擔(dān)起更大的責(zé)任。

對此,人民網(wǎng)IT頻道采訪了微信、京東金融等互聯(lián)網(wǎng)企業(yè)。微信官方表示,目前微信具有“帳號保護(hù)”機(jī)制、緊急凍結(jié)功能,以及防詐騙提醒機(jī)制;同時微信支付具有一整套的安全機(jī)制和手段,包括:錢包鎖、支付密碼驗(yàn)證、終端異常判斷、交易異常實(shí)時監(jiān)控、交易攔截等。若用戶不慎丟失手機(jī),應(yīng)該第一時間撥打微信支付客服專線“95017”轉(zhuǎn)9鍵自助凍結(jié)賬戶支付能力,可有效避免資金損失。

京東金融方面表示,建議用戶及時撥打京東金融官方客服電話:95118,與官方客服取得聯(lián)系,在核實(shí)身份信息后,為用戶提供止付等動作,協(xié)助用戶降低資金被盜風(fēng)險,避免資金損失。

俞奎則建議,針對這起案例中出現(xiàn)的情況,從攻擊角度來看,作為用戶可以通過以下幾個層面來安全防護(hù):

1、給手機(jī)SIM卡設(shè)置密碼,防止手機(jī)丟失后,手機(jī)卡被盜用。

2、手機(jī)丟失后,及時聯(lián)系運(yùn)營商掛失手機(jī)卡,防止手機(jī)丟失后,手機(jī)卡被盜用。

3、給手機(jī)設(shè)置復(fù)雜的解鎖密碼(超過6位的數(shù)字+字母),防止手機(jī)鎖屏密碼短期內(nèi)被破解。

4、給手機(jī)應(yīng)用設(shè)置安全鎖,防止他人獲得手機(jī)應(yīng)用內(nèi)信息。

責(zé)任編輯:趙睿

       特別聲明:本網(wǎng)登載內(nèi)容出于更直觀傳遞信息之目的。該內(nèi)容版權(quán)歸原作者所有,并不代表本網(wǎng)贊同其觀點(diǎn)和對其真實(shí)性負(fù)責(zé)。如該內(nèi)容涉及任何第三方合法權(quán)利,請及時與ts@hxnews.com聯(lián)系或者請點(diǎn)擊右側(cè)投訴按鈕,我們會及時反饋并處理完畢。

最新國內(nèi)新聞 頻道推薦
進(jìn)入新聞頻道新聞推薦
年終盤點(diǎn):過去這一年中國為全球經(jīng)濟(jì)增
進(jìn)入圖片頻道最新圖文
進(jìn)入視頻頻道最新視頻
一周熱點(diǎn)新聞
下載海湃客戶端
關(guān)注海峽網(wǎng)微信
?

職業(yè)道德監(jiān)督、違法和不良信息舉報電話:0591-87095414 舉報郵箱:service@hxnews.com

本站游戲頻道作品版權(quán)歸作者所有,如果侵犯了您的版權(quán),請聯(lián)系我們,本站將在3個工作日內(nèi)刪除。

溫馨提示:抵制不良游戲,拒絕盜版游戲,注意自我保護(hù),謹(jǐn)防受騙上當(dāng),適度游戲益腦,沉迷游戲傷身,合理安排時間,享受健康生活。

CopyRight ?2016 海峽網(wǎng)(福建日報主管主辦) 版權(quán)所有 閩ICP備15008128號-2 閩互聯(lián)網(wǎng)新聞信息服務(wù)備案編號:20070802號

福建日報報業(yè)集團(tuán)擁有海峽都市報(海峽網(wǎng))采編人員所創(chuàng)作作品之版權(quán),未經(jīng)報業(yè)集團(tuán)書面授權(quán),不得轉(zhuǎn)載、摘編或以其他方式使用和傳播。

版權(quán)說明| 海峽網(wǎng)全媒體廣告價| 聯(lián)系我們| 法律顧問| 舉報投訴| 海峽網(wǎng)跟帖評論自律管理承諾書

友情鏈接:新聞頻道?| 福建頻道?| 新聞聚合