马鞍山信息港

当前位置: 首页 >游戏

手机绑定功能存隐患遗失或致连环信息泄漏

来源: 作者: 2019-05-14 20:03:20

遗失后,不少人烦恼的,也许只是失去了一部通话工具和里面的通讯录,鲜有人想到,你随之失去的,极可能还有当当、人人、微博、易邮箱、支付宝、财付通等等一系列站的账号和密码。7月27日,本报曾报导以号码注册的财付通、支付宝账户,可以通过轻易修改密码。本周《IT时报》继续跟踪调查发现,除了第三方支付,还有不少站账户都提供绑定功能,且对找回、修改密码并没设置太多门坎,一旦用户遗失,便很可能因此泄露信息。

微博、人人:短信就可重置密码

时下热门的微博、社交站、邮箱包含着诸多个人信息,号码能打开它们的大门吗?

在微博登录页面中,输入号码,并点击忘记密码,根据提示操作后,上便收到一条验证码,只要在页上输入验证码就可以重新设置密码。腾讯微博也是如此,只需用密保发送新的密码到指定的号码,便会收到一条密码修改完成的短信,而密保往往就是登录用的号码。

在一些社交站,找回密码的进程也颇为类似。如人人,同样只需用密保指定的短信发送到指定的地址就可以了。

一些电子邮箱一样也存在风险。比如易的126邮箱,如果和号码绑定过,既可用户名登录,也可直接用号码登录,一样选择忘记密码,易会向发送验证码进行密码重置,然后便可以任意修改密码了,而密码更改后,并不会收到任何提示信息。

易客服表示,号码的确是能解开邮箱的密码,他建议用户设置多重密保,例如密保邮箱、密保卡等,来加强密码保护。

当当:客服透露用户信息

《IT时报》在各个站逐一尝试的过程中发现,虽然有的账户信息仅通过自己操作并不能解决问题,而要寻求客服的帮助,但很多客服对用户信息的审核也只是走过场。

在当当上,如果忘记密码,需要输入注册时的EMAIL地址。致电铛铛客服,表示已忘记了登录时的邮箱。该客服询问了绑定的号码和姓氏后,就直接告知了EMAIL邮箱,甚至把在注册当当时填的地址也一并报了出来。知道邮箱后,点击忘记密码,当当会向该邮箱发送密码重置的邮件,通过邮件,可以重新设置密码。而根据前文所言,如果用户邮箱恰巧是126等可以用解开的邮箱,铛铛账户丢失的风险依然存在。

、MSN:号码不能破解信息

难道所有与绑定的站都存在如此风险吗?

作为常用的聊天工具,也有不少用户把号码和绑定,号被盗走的可能性有多大?进行了尝试。在安全中心的页里,根据提示输入了绑定的号码和页面上的验证码,通过密保发送短信一样可以找回密码,但在终提示信息中, 号码只显示了首末位数字。也就是说,即使有人拿到你的,修改了密码,却仍然会因为不知道号码而无法登录。客服向证实,仅凭号码的确找不到到号码,想要找到号码,必须通过申述,提供该的一些使用信息等。

用同样的方法试着找回MSN的用户名和密码,也没有成功。

当然,也有与号码完全无关的站,比如雅虎邮箱,只能通过回答密保问题,或发邮件到关联邮箱进行密码重设,和号码无关。

专家说法

企业应尽量杜绝管理漏洞

上海信息安全行业协会秘书长王强告诉,很多站在安全技术手段方面还是比较注重的,但考虑到用户对方便的需求,往往会在快捷和方便之间做一些取舍。这是不少企业一直碰到的难题,太复杂,没有用户愿意使用,而不安全,则会带来很多后续的问题。

支付宝相关工作人员则向表示,支付宝开发产品的原则,是在安全的基础上尽量便捷,目前一些用户碰到的安全问题,可能是因为用户自己的使用习惯而造成,所谓的漏洞也要针对实际的案例才能知道究竟是什么原因。

但王强认为,企业除加强技术保障和用户自己要重视自我保护外,在管理上应该有不少工作可以做,人工服务理应对用户进行基本审核。但像铛铛的客服,仅报出一个号码就告知了用户想要询问的信息,甚至连没询问的信息也泄漏了,这就是管理漏洞,是不应该出现的。

手记

安全模式没有快捷键

快捷,我所欲也,安全,亦我所欲也。

如今很多账户都联姻了,用多种方式都能登录,比如微博,可以用邮箱、号、MSN等登录,因此,只要一个信息泄露,也许会牵扯到多个账户的安危。这就像一个连环套,一旦其中一环出现问题,会波及其它。在方便的同时,这样的联姻带来了更多的担忧和风险,乃至还可能带来财产损失。

其实,对用户来讲,安全与便捷的选择题历来很好做,一定是安全重要,尤其是一些与经济利益相关的账户。而企业常常为了争夺用户,尽量缩短用户在注册时的犹豫期,而提供愈来愈便捷的方式,这样,它可以向投资人说:我的用户数是千万级、乃至亿级的。当然,这没有错,但问问自己,有没有在寻觅更快捷方式的同时,花费更多的精力在确保安全上?

验证的时候,多填一个邮箱地址,用户多不了几秒钟时间;客服审核的时候,多回答一个问题,会让用户觉得更安心。为了安全,这些付出还是值得的,不用任何快捷键。

经期延长可以吃点什么
经期延长可以吃什么调理
经期延长吃什么

相关推荐