猜猜王思聪是怎么被盗号的?
一觉醒来,发现王思聪大众点评帐号“被换绑手机号”怼上了热搜,平时网络尖刀的小伙子们也长期在为美团安全应急响应找安全问题,对于其业务情况算是“非常了解”,根据我们目前了解的情况,最近并没有发现美团或大众点评出现脱裤、数据安全问题。
没有发生大规模群体事件,只定向的攻击了一个账户,出于职业敏感性,让我第一时间想到了“密码找回”这个最容易被社会工程学利用的环节。
从哪里攻破的?
大众点评在网页端上的密码找回功能是比较传统的,只要你输入帐号,下一步就直接让你输入手机接收的验证码,是没有其它流程可以走的。
关联的美团账户体系,在网页端也是一样,输入帐号-检测安全环境,哪怕是在一个我长期使用的电脑上这样操作:
然后也会直接触发验证码逻辑。
如果尝试次数过多,还会被锁定24小时,想从这里下手几乎做不到。
所以想要通过这里搞定王思聪帐号,除非去“劫持验证码”,技术手段可以实现,但是这个成本和以王思聪经济实力,把他手机变“2G”这个路径实在是太难了,所以我们直接定位大众点评的移动端APP。
移动APP“手机号码无法使用”申诉流程是祸根
现在大部分的APP应用,在账户保护上都采用多重信息验证的方式,在正常的用户操作发起找回密码、解绑手机或更改密码等操作的时候,平台会优先推荐使用手机验证码进行验证,这个方式也确实是目前阶段最容易证明“你是你本人”的最优方式。
但是如果手机号码不可用,通过手机验证码无法验证,平台则会通过实名认证(姓名及身份证)、人脸识别验证、社交验证、预留密保信息验证等多种方式进行审核验证。
其中,社交和人脸识别实名认证安全性最高,但不是所有平台都可以实现。
微信采用的正是社交验证,当用户更换设备或者更换手机号之后,微信会要求用户寻找微信好友发送特定信息以验证身份。而在其他平台,可能会要求用户提供注册时预留的私密信息作为验证。
微信/QQ这种社交平台通过好友关系辅助认证有先天优势,而像美团、大众点评这种购物应用并不存在社交关系,在手机不可用的情况下,就只能以用户自留的隐私信息来作为验证手段”,而行业常用的手段就是:你家在哪?你男女/朋友叫啥?XXX的生日是多少?这类的“密保问题”。密保问题这个是在WEB2.0时代就遗留下来的方式方法,早期QQ在没升级成“好官关系辅助认证”方式之前,采用的其实也是密保问题这样的方式。
到了“预留信息验证”这个环节,我们就要聊聊“数据泄露”的问题了,王思聪是个公众人物,在过去的个人隐私数据大量泄露的复杂互联网环境里,找到他的身份证信息、手机号码并不难,比如之前云舒披露过的,微博泄露用户手机号通过微博名就可以查到绑定手机号的案例,王思聪是微博重度用户。
再加上他并没有固定的上网IP环境,全年都在移动中,实际上像王思聪这种用户“并不存在异常IP、异常登录”的风控逻辑,因为他全年都是异常。
如果通过这个方式,其实就很容易找到问题点。
看看大众点评APP当前的逻辑
事情已经发生了十几个小时,大众点评这边肯定自己复盘已经修复了很多东西,修复了系统并不代表修复了完整的业务逻辑,还有很多痕迹是可寻的,比如在大众点评操作APP“登录遇到问题”,你会得到这个界面:
原来的找回逻辑应该涉及“人工申诉找回”,其实网页端上通过客服机器人切到
“人工服务”也有这个入口,能来佐证,通过社会工程学欺骗客服找回,其实之前别的平台也有这个案例,这个入口肯定就是“培训问题”才能解决了。
我们直接选择“其他问题”,你就能看到这个特别有意思的找回逻辑:
注意黄色部分“更换手机号不需要原手机号接受验证码”,通过这里进去,现在的入口是关联你“SNS绑定账户”进行找回:
在我的APP上我只绑定了微信,想通过这个办法先盗走我微信再搞定大众点评,很难,但是我们看看除了绑定微信,大众点评还能绑什么?
是不是就又看到有意思的东西了呢?当然如果这帐号什么都没绑定,通过去欺骗人工客服,验证预留的:真实姓名、身份证号(甚至正反面照片)、原手机号在大数据信息泄露的时代,王思聪的这些信息并不难找。
最后通过美团的APP给大家录制一个组合利用,前提是必须知道对方的密保问题,有的触发“身份证上8位号码”,王思聪手机号和身份证泄露,就可以完成重置。
我的是触发比较难猜是用“支付密码”。(因为是先在美团测试的,可能由于是测试次数太多,进了风控收不到验证码了,在大众点评那边其实是一样的逻辑。)
给点建议
传统的社交媒体登录固然方便,但是遗留了很多“供应链攻击问题”,一旦某个平台的帐号被盗,你使用这个帐号绑定的其它平台就会集体沦陷,所以一般我建议只绑定微信,只要你不乱去搞什么第三方挂机、清粉软件以WX目前的验证逻辑被盗问题概率很低,即便是被盗找回的概率也极高,因为是常用的应用前一秒被盗号踹下来,很快就知道出了问题。
至于其它的,建议真的不要继续使用,同时在各种APP上涉及到“密保问题”的,千万不要填写真实内容,找个好记一点的代号,比如问你出生在哪里,你填个前男/女友名字,所问非所答的预留信息,肯定被人社工的概率就一下子低很多了。
至于平台方?取消密保验证机制尽量就都升级成为人脸识别验证,建议后续还是国家推动,如果手机号无法使用,真的建议一个可信的公立部门推出一个“认证云”,可以通过调SDK的方式,实现实名信息+人脸核验的比对认证,用于各平台的业务找回逻辑,当然在这个基础上要加上一个额外的“多因子认证”方式,避免AI对抗走到了人脸冒用的新信息安全技术问题里。
转载须知:
最近半年内经常“被动采访”出现在我毫不知情的媒体内容里,完整引用我倒是不觉得有什么,但是发现很多断章取义以及添油加醋变成“黑公关”内容的报道,希望大家互相尊重,特声明除了以下已多次合作建立信任的媒体:
澎湃新闻、人民网、新华网、新京报、IT时报、成都商报、重庆商报、南方都市报、梨视频、雷锋网、法制晚报、36Kr、环球时报
其它任何媒体引用我文章内部分内容都请与我确认授权。
站外完整内容转载烦请注明来自公众号:网络尖刀,作者:曲子龙,公众号内容转载,可以直接在下面留言公众号ID,我在后台开放白名单。
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- RisingWave“奇点无限”开发的云原生流式数据库
- 迅雷最新会员数量公布:一年增加100万人
- 《漫威金刚狼》数据彻底泄露
- 新形势下农商行数据安全体系建设的思考
- 超全新年购机指南,第二代骁龙8移动平台机型盘点
- 雷军:“下一代 Ultra旗舰将面向全球发售”;戴尔宣布完全退出俄罗斯;TypeScript 4.8发布|极客头条
- 数字化靶场的未来方向
- 华为轮值董事长郭平新年致辞:前行不辍,未来可期
- 打脸现场:“曾以为对开发者最好的应用商店,无故下架了我的高评分应用”
- 联想回应“柳传志1亿年薪”;英伟达收购ARM交易或彻底泡汤;苹果将于10月18日举行新品发布会|极客头条
- 5G赋能钢铁产业,为钢铁工人插上翅膀
- 云版 Android 系统来了?