壹位在某公司從事安全風控的專家表示,從王思聰微博透露的情況和過去類似案例來看,疑似是被人套取個人信息後,通過多次撞庫等方式實現了盜綁。
據了解,現階段各互聯網App在用戶賬號保護上均使用多層信息驗證方式。當用戶發起解綁手機或更改密碼等操作時,平臺會首先通過手機驗證碼進行驗證,若手機驗證碼無法驗證,平臺會通過實名認證、社交驗證和預留信息驗證三種方式進行審核驗證。
其中,社交和人臉識別實名認證安全性最高,但不是所有平臺都可以實現。
微信采用的正是社交驗證,當用戶更換設備或者更換手機號之後,微信會要求用戶尋找微信好友發送特定信息以驗證身份。而在其他平臺,可能會要求用戶提供註冊時預留的私密信息作為驗證。
“除了微信這種有好友關系的平臺之外,其他平臺缺乏社交驗證方式,如果不能像12306等壹樣打通實名認證系統,就只能以用戶自留的隱私信息來作為驗證手段”,上述人士表示,大眾點評賬號並不涉及資產安全等問題,因此,可能采用的是“預留信息驗證”方式。
而在這壹加密方式中,最關鍵的壹環恰恰是“隱私信息”。從 歷史 案例來看,多數用戶“被盜號或盜綁”的案例,都是因為用戶的個人信息遭到曝光。
“王思聰這種公眾人物,個人信息泄露的可能性和危險性更高,之前網絡上也出現過很多明星的身份證號、證件照片等信息,因此,如果有人掌握了王思聰近期的全套信息,如身份證號、住址、寵物姓名等等,那麽通過撞庫等手段破解賬號其實並不難”,上述專家表示,平臺的風控手段只能通過異常IP、異常登錄等方式進行識別,但如果盜號者掌握了大量個人信息,風控系統可能就失效了。
“因為很多明星的隱私泄露情況嚴重,因此,很多平臺對明星等公眾人物的賬號會有特殊保護,但的確沒想到,點評沒有對王思聰的實名賬號做特殊保護,這可能是出人意料的地方”,上述專家表示。
雷鋒網雷鋒網