10月10日,王思聰發微博稱自己的大眾點評賬號“被換綁手機號”。這一事件引發了網絡上更多討論。
對此,網絡尖刀安全創始人曲子龍發布文章進行了詳細解讀。文章顯示,近期美團或者大眾點評并未出現脫褲、數據安全問題,而綜合各種跡象來看,王思聰賬號被盜綁屬于個案問題,其核心問題點在于“個人隱私數據泄露”。
曲子龍表示,在不通過手機驗證碼驗證的情況下,目前平臺會通過實名認證(姓名及身份證)、人臉識別驗證、社交驗證、預留密保信息驗證等多種方式進行審核驗證。
其中,微信/QQ這種社交平臺通過好友關系輔助認證有先天優勢,而像美團、大眾點評這種購物應用并不存在社交關系,在手機不可用的情況下,就只能以用戶自留的隱私信息來作為驗證手段”,而行業常用的手段就是:你家在哪?你男女/朋友叫啥?XXX的生日是多少?這類的“密保問題”。
密保問題則是在WEB2.0時代就遺留下來的方式方法,早期QQ在沒升級成“好官關系輔助認證”方式之前,采用的其實也是密保問題這樣的方式。
而在這一驗證模式下,“數據泄露”就成為了最核心的安全隱患。曲子龍認為,“王思聰是個公眾人物,在過去的個人隱私數據大量泄露的復雜互聯網環境里,找到他的身份證信息、手機號碼并不難”。
據了解,此前微博也曾發生過大規模被脫庫事件,大量用戶用戶手機號被泄露,通過微博名就可以查到綁定手機號的案例,而巧合的是,王思聰也是微博重度用戶。
除此之外,公眾人物的生活方式也導致了平臺風控系統“識別困難”。曲子龍文章分析認為,“王思聰常年處于移動狀態,沒有固定的上網IP環境,其賬號全年都屬于“異常登錄”的風控邏輯”。
曲子龍建議,針對各個APP上涉及到的“密保問題“,千萬不要填寫真實的內容,找個好記一點的代號,比如問你出生在哪里,你填個前男/女友名字,所問非所答的預留信息,降低被盜號的概率。
除此之外,曲子龍還建議通過可信的公立部門推出一個“認證云”,可以通過調SDK的方式,實現實名信息+人臉核驗的比對認證,用于各平臺的業務找回邏輯,并在此基礎上,加上額外的“多因子認證”方式,避免AI對抗走到人臉冒用的新信息安全技術問題里。
推薦評測
Copyright 1997-2022?電腦報官網?All Rights Reserved
渝公網安備 50010302003670號
