猜猜王思聰是怎么被盜號的？

美食作者：網(wǎng)絡尖刀 2021-10-11 16:24:23

一覺醒來，發(fā)現(xiàn)王思聰大眾點評帳號“被換綁手機號”懟上了熱搜，平時網(wǎng)絡尖刀的小伙子們也長期在為美團安全應急響應找安全問題，對于其業(yè)務情況算是“非常了解”，根據(jù)我們目前了解的情況，最近并沒有發(fā)現(xiàn)美團或大眾點評出現(xiàn)脫褲、數(shù)據(jù)安全問題。

沒有發(fā)生大規(guī)模群體事件，只定向的攻擊了一個賬戶，出于職業(yè)敏感性，讓我第一時間想到了“密碼找回”這個最容易被社會工程學利用的環(huán)節(jié)。

從哪里攻破的？

大眾點評在網(wǎng)頁端上的密碼找回功能是比較傳統(tǒng)的，只要你輸入帳號，下一步就直接讓你輸入手機接收的驗證碼，是沒有其它流程可以走的。

關聯(lián)的美團賬戶體系，在網(wǎng)頁端也是一樣，輸入帳號-檢測安全環(huán)境，哪怕是在一個我長期使用的電腦上這樣操作：

然后也會直接觸發(fā)驗證碼邏輯。

如果嘗試次數(shù)過多，還會被鎖定24小時，想從這里下手幾乎做不到。

所以想要通過這里搞定王思聰帳號，除非去“劫持驗證碼”，技術手段可以實現(xiàn)，但是這個成本和以王思聰經(jīng)濟實力，把他手機變“2G”這個路徑實在是太難了，所以我們直接定位大眾點評的移動端APP。

移動APP“手機號碼無法使用”申訴流程是禍根

現(xiàn)在大部分的APP應用，在賬戶保護上都采用多重信息驗證的方式，在正常的用戶操作發(fā)起找回密碼、解綁手機或更改密碼等操作的時候，平臺會優(yōu)先推薦使用手機驗證碼進行驗證，這個方式也確實是目前階段最容易證明“你是你本人”的最優(yōu)方式。

但是如果手機號碼不可用，通過手機驗證碼無法驗證，平臺則會通過實名認證（姓名及身份證）、人臉識別驗證、社交驗證、預留密保信息驗證等多種方式進行審核驗證。

其中，社交和人臉識別實名認證安全性最高，但不是所有平臺都可以實現(xiàn)。

微信采用的正是社交驗證，當用戶更換設備或者更換手機號之后，微信會要求用戶尋找微信好友發(fā)送特定信息以驗證身份。而在其他平臺，可能會要求用戶提供注冊時預留的私密信息作為驗證。

微信/QQ這種社交平臺通過好友關系輔助認證有先天優(yōu)勢，而像美團、大眾點評這種購物應用并不存在社交關系，在手機不可用的情況下，就只能以用戶自留的隱私信息來作為驗證手段”，而行業(yè)常用的手段就是：你家在哪？你男女/朋友叫啥？XXX的生日是多少？這類的“密保問題”。密保問題這個是在WEB2.0時代就遺留下來的方式方法，早期QQ在沒升級成“好官關系輔助認證”方式之前，采用的其實也是密保問題這樣的方式。

到了“預留信息驗證”這個環(huán)節(jié)，我們就要聊聊“數(shù)據(jù)泄露”的問題了，王思聰是個公眾人物，在過去的個人隱私數(shù)據(jù)大量泄露的復雜互聯(lián)網(wǎng)環(huán)境里，找到他的身份證信息、手機號碼并不難，比如之前云舒披露過的，微博泄露用戶手機號通過微博名就可以查到綁定手機號的案例，王思聰是微博重度用戶。

再加上他并沒有固定的上網(wǎng)IP環(huán)境，全年都在移動中，實際上像王思聰這種用戶“并不存在異常IP、異常登錄”的風控邏輯，因為他全年都是異常。

如果通過這個方式，其實就很容易找到問題點。

看看大眾點評APP當前的邏輯

事情已經(jīng)發(fā)生了十幾個小時，大眾點評這邊肯定自己復盤已經(jīng)修復了很多東西，修復了系統(tǒng)并不代表修復了完整的業(yè)務邏輯，還有很多痕跡是可尋的，比如在大眾點評操作APP“登錄遇到問題”，你會得到這個界面：

原來的找回邏輯應該涉及“人工申訴找回”，其實網(wǎng)頁端上通過客服機器人切到
“人工服務”也有這個入口，能來佐證，通過社會工程學欺騙客服找回，其實之前別的平臺也有這個案例，這個入口肯定就是“培訓問題”才能解決了。

我們直接選擇“其他問題”，你就能看到這個特別有意思的找回邏輯：

注意黃色部分“更換手機號不需要原手機號接受驗證碼”，通過這里進去，現(xiàn)在的入口是關聯(lián)你“SNS綁定賬戶”進行找回：

在我的APP上我只綁定了微信，想通過這個辦法先盜走我微信再搞定大眾點評，很難，但是我們看看除了綁定微信，大眾點評還能綁什么？

是不是就又看到有意思的東西了呢？當然如果這帳號什么都沒綁定，通過去欺騙人工客服，驗證預留的：真實姓名、身份證號（甚至正反面照片）、原手機號在大數(shù)據(jù)信息泄露的時代，王思聰?shù)倪@些信息并不難找。

最后通過美團的APP給大家錄制一個組合利用，前提是必須知道對方的密保問題，有的觸發(fā)“身份證上8位號碼”，王思聰手機號和身份證泄露，就可以完成重置。

我的是觸發(fā)比較難猜是用“支付密碼”。（因為是先在美團測試的，可能由于是測試次數(shù)太多，進了風控收不到驗證碼了，在大眾點評那邊其實是一樣的邏輯。）

給點建議

傳統(tǒng)的社交媒體登錄固然方便，但是遺留了很多“供應鏈攻擊問題”，一旦某個平臺的帳號被盜，你使用這個帳號綁定的其它平臺就會集體淪陷，所以一般我建議只綁定微信，只要你不亂去搞什么第三方掛機、清粉軟件以WX目前的驗證邏輯被盜問題概率很低，即便是被盜找回的概率也極高，因為是常用的應用前一秒被盜號踹下來，很快就知道出了問題。

至于其它的，建議真的不要繼續(xù)使用，同時在各種APP上涉及到“密保問題”的，千萬不要填寫真實內(nèi)容，找個好記一點的代號，比如問你出生在哪里，你填個前男/女友名字，所問非所答的預留信息，肯定被人社工的概率就一下子低很多了。

至于平臺方？取消密保驗證機制盡量就都升級成為人臉識別驗證，建議后續(xù)還是國家推動，如果手機號無法使用，真的建議一個可信的公立部門推出一個“認證云”，可以通過調(diào)SDK的方式，實現(xiàn)實名信息+人臉核驗的比對認證，用于各平臺的業(yè)務找回邏輯，當然在這個基礎上要加上一個額外的“多因子認證”方式，避免AI對抗走到了人臉冒用的新信息安全技術問題里。

轉(zhuǎn)載須知：

最近半年內(nèi)經(jīng)?！氨粍硬稍L”出現(xiàn)在我毫不知情的媒體內(nèi)容里，完整引用我倒是不覺得有什么，但是發(fā)現(xiàn)很多斷章取義以及添油加醋變成“黑公關”內(nèi)容的報道，希望大家互相尊重，特聲明除了以下已多次合作建立信任的媒體：

澎湃新聞、人民網(wǎng)、新華網(wǎng)、新京報、IT時報、成都商報、重慶商報、南方都市報、梨視頻、雷鋒網(wǎng)、法制晚報、36Kr、環(huán)球時報

其它任何媒體引用我文章內(nèi)部分內(nèi)容都請與我確認授權。

站外完整內(nèi)容轉(zhuǎn)載煩請注明來自公眾號：網(wǎng)絡尖刀，作者：曲子龍，公眾號內(nèi)容轉(zhuǎn)載，可以直接在下面留言公眾號ID，我在后臺開放白名單。