王思聰作為網際網路權威質檢員,這幾年來的業績,我們有目共睹。
在各大明星結婚,半個娛樂圈都在祝賀之時,王校長總能找到奇怪的切入點,把內情曝光出來。
又比如某女星代孕的事情敗露後,王思聰又敬業上崗,給她追加了一波真實傷害。
雖然校長平時爭議不少,但遇到那些奇葩事兒,他總會路見不平,給出一針見血的吐槽。
最近他也沒閒著,除了搗鼓伺服器和硬體那些燒錢活,還不忘對大廠App進行“人工稽核”。
而這次被吐槽的正是美團旗下的大眾點評。
事情是這樣的,王思聰發了條微博,表示自己的大眾點評賬號被莫名改綁手機,大機率是被人惡意盜號了。
這時候作為使用者的思聰就蚌埠住了,他不留情面,對著大眾點評重拳出擊。
甚至精準指出大眾點評的兩大缺點,恰爛錢和刷虛假分數。。。
這還沒完,在微博釋出不到一個小時,王思聰又轉發該微博,繼續開火美團:
震驚!國家資料安全法實施後市值萬億的美團點評依舊我行我素!
而網友們對王思聰基本是一呼萬應,持支援態度的居多。
別看王思聰只是在維權,他作為公眾人物有著極高影響力,從某種程度來看,也算是在幫普通人維權了。
要是讓小透明網友整這一出,微博動態怕是會石沉大海。。。
在兩條吐槽犀利的微博發出後,大眾點評果然很快進行了迴應。
表示相關賬號已在第一時間給予保護性凍結,事情到這也就告一段落了。
從這也能看出,平臺要解決問題並不難,只需在後臺操作一下,賬號很快便物歸原主。
真正難的,其實是預防問題。
而大眾點評的問題就在於,
換綁手機號的條件太tm簡單了...
針對大眾點評盜號事件,微博博主
@軒寧軒Sir
特意用美團測試了手機號換綁過程。
在換綁的時候,只需選擇“
手機號無法接收簡訊
”這個選項,系統就會讓你填正在使用的手機號碼。
走到這一步,整個流程都還沒啥問題。
圖源:@軒寧軒Sir
但進入下一步後,小雷直呼大開眼界。。。
大夥可以看到,這裡要我們填身份證上8位生日號碼,只要填對就能換綁新的手機號。
中間再無其他驗證步驟,整個換綁流程行雲流水,絲毫不像是大廠App應該有的難度。
圖源:@軒寧軒Sir
小雷也挺納悶,身份證號碼的生日算啥隱私啊,這不就是大夥的公曆生日日期嗎?
身邊熟人的生日,小雷都記得一清二楚,按這個換綁邏輯,盜起號來如同探囊取物。
像王校長這種公眾人物的生日就更容易查了,簡直是白給。
直接開啟百度,搜尋“王思聰”三個大字,換綁需要的8位生日號碼立馬出現:
19980103。
成功換綁手機號後,整個美團賬號就易主了。
裡面的外賣、買藥和開放訂單,甚至是收貨地址,都會被別人一眼看光。
現在已經2021年了,美團居然還搞如此簡單的換綁驗證流程。
啥也不說,我先破防為敬。
在王思聰和這位博主的反饋之下,美團很快就更改了換綁手機號的驗證邏輯。
變化不多,只是多加了一個前提條件:
“暫只最近6個月修改過賬號繫結手機號的使用者”
小雷簡單解釋一下,如果賬號在最近6個月沒有換綁過手機號,就不能繼續換綁。
這樣做雖然可以一定程度封堵漏洞,但完全脫離了功能的實質。
我們平時使用沒有遇到啥問題,肯定不會主動換綁手機號啊,那大機率會超過6個月不修改繫結。
按照這個限制,等哪天真有換綁手機號的需求,問題只會更難解決。。。
換成目前常用的完整身份證號碼認證,或者人臉認證,可能更加實際。
而且根據小雷實測,現在的換綁介面,無論怎麼操作,都通過不了“滑塊驗證”。
美團可能怕更多使用者被盜號,臨時把這個換綁通道給關掉了。
結合實際情況來看,美團這兩波操作,應該都只是臨時上線的救急方案。
最後要怎麼調整,估計還得等兩天時間。
當然,盜號事件常有發生,美團也不是第一個出這種事的公司。
像前幾年的騰訊QQ,也因為賬號策略的漏洞,導致部分使用者的賬號一直被盜。
這個盜號方法也特別簡單,無需駭客技術,也不需要多聰明的頭腦,講究的就是“
熟人作案
”。
因為這個“盜號”方法,用的就是QQ官方的賬號申訴渠道。。。
恰好詮釋了那句話:最危險的地方,就是最安全的地方。
當時的具體操作是這樣的,進入QQ賬號的申訴介面,輸入需要盜取的QQ號。
接著在下一步,我們會填寫一些歷史資料,比如號主的真實姓名和用過的密碼等。
其中歷史密碼最為關鍵,它會很大程度影響申訴的成功率,甚至能一錘定音。
所以小雷才說“熟人好作案”,以前好友之間總會相互借賬號,用來登入遊戲。
在末尾的好友輔助驗證,也是申訴成功的最佳助攻。
只要把歷史密碼、好友資訊和號主姓名填對了,申訴成功率高達70%以上。
別問小雷為啥這麼清楚,小雷以前真就這麼幹過,而且還屢試屢爽。
如果說市面上的盜號方法只能盜取密碼,那申訴大法簡直是把別人家底都挖出來了。
連密保問題和手機號碼都能修改,盜得一乾二淨。
不過咧,因為當時的QQ申訴機制存在漏洞,號主和盜號者往往會極限拉扯。
你把我號申訴偷走,我又把賬號申訴召回,直到一方放棄為止。
至於QQ和美團最大的不同,就在於騰訊的賬號保護做得更完善。
人家的賬號體系搞了十幾年,應對盜號的方式一直在進步。
現在QQ的申訴,不再像以前簡單無腦,需要輸入完整身份證號碼。
找回方式也比美團方便合理得多,只要以前有實名過,現在就可以透過騰訊客服提供的人臉認證找回QQ。
反正參考答案很多,像微信和支付寶,這兩個App就是賬號保護的正面示範。
畢竟都涉及到個人財產,可不敢馬虎對待。
但換個角度去想,如今人均手機號碼註冊賬號,相當於把個人資訊交給公司處理。
即使不涉及金錢,賬號的重要程度也比以前高得多了。。。
像美團這麼簡單的換綁機制,實在是讓人想不通。
希望美團後續能上線更完善的賬號保護機制,雖然裡面涉及不到錢財,但訂單這麼私密,可不興被偷看啊。