近日，王思聰因被換綁手機(jī)號怒懟大眾點(diǎn)評一事引發(fā)關(guān)注。據(jù)了解，王思聰在微博發(fā)文稱自己大眾點(diǎn)評賬號綁定的手機(jī)號被他人換綁，導(dǎo)致其無法登陸。隨后大眾點(diǎn)評向王思聰?shù)狼覆ζ滟~號進(jìn)行保護(hù)性凍結(jié)。

“用了十年的賬號，突然在登錄狀態(tài)下被擠掉了，找客戶折騰半天真的煩”“賬號用了十幾年，手機(jī)號突然被換，找都找不回來”……消息一出，便引發(fā)了公眾對賬戶信息安全的廣泛擔(dān)憂，許多網(wǎng)友都表示曾有過類似遭遇。

大眾點(diǎn)評的換綁驗(yàn)證機(jī)制是否存在漏洞？是否存在更安全有效的驗(yàn)證方式？有專家指出，無論從業(yè)務(wù)設(shè)計(jì)還是人為攻擊的角度看，這都屬于大眾點(diǎn)評的安全漏洞；還有專家表示，事件本質(zhì)是賬戶安全問題，平臺應(yīng)盡可能從更多維度確認(rèn)賬戶歸屬。

1

僅輸入原手機(jī)號和出生日期即可換綁

10月10日，王思聰發(fā)布微博稱自己的大眾點(diǎn)評賬號“莫名其妙”地被別人改綁了手機(jī)號?！斑@就是上萬億市值公司的安全系統(tǒng)嗎？莫名其妙我自己的號就能被別人改綁手機(jī)？”他寫道。

隨后，大眾點(diǎn)評官博便留言向王思聰?shù)狼?，稱已第一時(shí)間對相關(guān)賬號予以保護(hù)性凍結(jié)。盡管如此，王思聰?shù)倪@則微博仍然迅速發(fā)酵，多名網(wǎng)友紛紛進(jìn)行了實(shí)測。

微博網(wǎng)友@軒寧軒Sir于11日早上實(shí)測同屬美團(tuán)旗下的美團(tuán)App發(fā)現(xiàn)，在未登錄的狀態(tài)下，選擇“手機(jī)號無法收接短信”并輸入原來的手機(jī)號后，只要輸入新的手機(jī)號和生日，就可以換綁手機(jī)號，還能看到美團(tuán)訂餐訂單、買藥訂單、開房訂單、家庭住址等私密信息。

不過，11日下午，南都·隱私護(hù)衛(wèi)隊(duì)實(shí)測大眾點(diǎn)評App，發(fā)現(xiàn)在選擇“原手機(jī)號已不用”的情況下，要換綁手機(jī)號重新登錄必須從原賬號“曾在點(diǎn)評或美團(tuán)購買過的項(xiàng)目（單選）”列表中選出正確選項(xiàng)，才能換綁成功。

此后，有網(wǎng)友表示，美團(tuán)已線上調(diào)整了賬號換綁策略，將條件限制為“最近六個(gè)月修改過手機(jī)號的用戶”。南都·隱私護(hù)衛(wèi)隊(duì)經(jīng)實(shí)測發(fā)現(xiàn)確實(shí)如此。

2

安全專家：應(yīng)盡可能從多維度確認(rèn)用戶身份

與美團(tuán)合作、為其安全應(yīng)急響應(yīng)尋找安全問題的信息安全團(tuán)隊(duì)網(wǎng)絡(luò)尖刀向媒體表示，這一次定向攻擊個(gè)別賬戶的情況，極有可能與“密碼找回”環(huán)節(jié)有關(guān)。

網(wǎng)絡(luò)尖刀團(tuán)隊(duì)負(fù)責(zé)人表示，大部分App在賬戶保護(hù)上都采用多重信息驗(yàn)證的方式，手機(jī)驗(yàn)證碼驗(yàn)證是目前階段最容易證明“你是你本人”的方式。但是如果手機(jī)號碼不可用，平臺則會采用實(shí)名認(rèn)證、人臉識別驗(yàn)證等其他方式。像美團(tuán)、大眾點(diǎn)評這種不存在社交關(guān)系的App，只能以用戶自留的隱私信息來作為驗(yàn)證手段，如身份證號、生日等等。

“現(xiàn)實(shí)生活中，想要獲得他人手機(jī)號、出生日期等個(gè)人信息是非常容易的，更何況王思聰這種公眾人物？因此，從業(yè)務(wù)設(shè)計(jì)角度來看，大眾點(diǎn)評的產(chǎn)品是存在問題的?！辟Y深安全專家張偉（化名）向南都·隱私護(hù)衛(wèi)隊(duì)表示。

因此，他認(rèn)為，無論從業(yè)務(wù)設(shè)計(jì)還是人為攻擊的角度來看，這種情況都屬于大眾點(diǎn)評的一個(gè)安全漏洞。

至于為何用戶會存在不同的驗(yàn)證方式，張偉直言，這可能存在兩種情況：第一是由于軟件的版本更新，需要進(jìn)一步進(jìn)行業(yè)務(wù)層面的驗(yàn)證；第二是版本更新后軟件變得更加智能。

“比如，如果用戶以前的手機(jī)號在平臺上曾有過業(yè)務(wù)，平臺會更重視保護(hù)該用戶賬號的安全性，從而進(jìn)行更有效的驗(yàn)證，這是對于老用戶的運(yùn)作邏輯。然而，由于新用戶在平臺中并未產(chǎn)生過相關(guān)業(yè)務(wù)數(shù)據(jù)，平臺無法進(jìn)行更準(zhǔn)確的驗(yàn)證，就只能通過出生日期、短信等方式進(jìn)行簡單確認(rèn)?！彼忉?。

另有資深安全專家李林（化名）指出，該問題的本質(zhì)在于平臺沒有二次校驗(yàn)機(jī)制。“手機(jī)號失效后，平臺沒有更好的方式確定用戶身份——嚴(yán)格來說，這不能算是安全漏洞。這種情況一般適用于沒有二次校驗(yàn)機(jī)制的老用戶賬號，可如果新賬號也可以這樣進(jìn)行解綁，應(yīng)該就算是漏洞了?！?/p>

此外，李林認(rèn)為，不同驗(yàn)證方式說明大眾點(diǎn)評會根據(jù)各用戶的不同情況，使用不同的安全校驗(yàn)方式，這恰恰是一種無奈下的精準(zhǔn)防控。在他看來，既然本質(zhì)是賬戶安全問題，那么解決方案就該盡可能從更多維度確認(rèn)賬戶歸屬，如讓用戶填寫使用過的設(shè)備型號、購買物品、真實(shí)姓名及解綁后手機(jī)對應(yīng)的真實(shí)姓名等。

張偉也表示，安全驗(yàn)證方式有很多種，但在原手機(jī)號已經(jīng)無法收到驗(yàn)證碼的情況下，相對安全有效的一種就是結(jié)合線下的人工審核，這也是較為負(fù)責(zé)的一種做法。不過他也指出，對于用戶量極大的平臺而言，為換綁手機(jī)號進(jìn)行線下人工審核是不現(xiàn)實(shí)的。

3

律師：換綁機(jī)制不合規(guī)，賬號主體變更需重視

博主@軒寧軒Sir和南都·隱私護(hù)衛(wèi)隊(duì)的實(shí)測結(jié)果顯示，在成功換綁賬號后，原賬號的各種訂單信息都會保留。對此，張偉表示這種業(yè)務(wù)邏輯是合理的。在他看來，一般而言，賬號換綁或重置密碼等操作對個(gè)人來講其安全性已經(jīng)很高，也必須受到足夠重視，而該事件說明大眾點(diǎn)評在前期設(shè)計(jì)中對這一領(lǐng)域有所忽視。

“換綁電話后可以查看原號主所有訂單信息是正常的，因?yàn)檫@類傳統(tǒng)電商業(yè)務(wù)平臺要保證用戶使用的便捷性，這樣的結(jié)果是前期賬號安全措施不夠完善才導(dǎo)致的，事實(shí)上，淘寶、支付寶等軟件都是這樣的業(yè)務(wù)邏輯。但如果是安全性較嚴(yán)的金融類平臺，就可能還需進(jìn)行二次校驗(yàn)，如人臉識別、身份證識別等?！彼f。

事實(shí)上，賬號被盜的情況在現(xiàn)實(shí)生活中并不少見，而以王思聰為代表的公眾人物，其手機(jī)號、身份證號、出生日期等信息更容易被他人通過各種渠道獲得，是隱私收到侵犯的重災(zāi)區(qū)。

數(shù)據(jù)安全法第27條規(guī)定，開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動(dòng)，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護(hù)義務(wù)。

網(wǎng)絡(luò)安全法第42條規(guī)定，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。

那么，從法律角度看，大眾點(diǎn)評的換綁驗(yàn)證功能是否合規(guī)？

在北京京師律師事務(wù)所合伙人、律師王琮瑋看來，大眾點(diǎn)評的換綁方式并不能有效保護(hù)用戶賬號。大眾點(diǎn)評在為換綁手機(jī)號所采取的安全措施方面，一是未能滿足網(wǎng)絡(luò)安全法對于賬號實(shí)名制的要求，用戶賬號很輕易就能被別人獲取或冒用；二是存在賬號信息泄露的風(fēng)險(xiǎn)。

“密碼是平臺為保護(hù)個(gè)人信息安全所采取的一種重要機(jī)制，它應(yīng)該是多因素的——如將短信驗(yàn)證碼、密保提問、生物識別等方式交叉使用。如果只通過其中一兩種驗(yàn)證，尤其是相對比較容易被他人獲取的手機(jī)號或身份證號、生日等信息就能變更賬號主體，在如今網(wǎng)絡(luò)安全風(fēng)險(xiǎn)如此之大的背景下，這種保護(hù)措施是遠(yuǎn)遠(yuǎn)不足以達(dá)到防護(hù)目的的。”她說道。

此外，王琮瑋還指出，換綁賬號和用戶的瀏覽行為或者發(fā)布信息的行為不同。“主體的變更會直接涉及到一個(gè)賬號和用戶真實(shí)身份是否相對應(yīng)的問題，同時(shí)也涉及用戶帳戶安全問題，這是很值得重視的。因此，我認(rèn)為賬號主體變更一定要采取更嚴(yán)格的驗(yàn)證手段或防護(hù)措施?！?/p>