猜猜王思聪是怎么被盗号的?

业界 作者:网络尖刀 2021-10-11 18:57:53

一觉醒来,发现王思聪大众点评帐号“被换绑手机号”怼上了热搜,平时网络尖刀的小伙子们也长期在为美团安全应急响应找安全问题,对于其业务情况算是“非常了解”,根据我们目前了解的情况,最近并没有发现美团或大众点评出现脱裤、数据安全问题。


没有发生大规模群体事件,只定向的攻击了一个账户,出于职业敏感性,让我第一时间想到了“密码找回”这个最容易被社会工程学利用的环节。


从哪里攻破的?


大众点评在网页端上的密码找回功能是比较传统的,只要你输入帐号,下一步就直接让你输入手机接收的验证码,是没有其它流程可以走的。



关联的美团账户体系,在网页端也是一样,输入帐号-检测安全环境,哪怕是在一个我长期使用的电脑上这样操作:


然后也会直接触发验证码逻辑。

如果尝试次数过多,还会被锁定24小时,想从这里下手几乎做不到。



所以想要通过这里搞定王思聪帐号,除非去“劫持验证码”,技术手段可以实现,但是这个成本和以王思聪经济实力,把他手机变“2G”这个路径实在是太难了,所以我们直接定位大众点评的移动端APP。


移动APP“手机号码无法使用”申诉流程是祸根


现在大部分的APP应用,在账户保护上都采用多重信息验证的方式,在正常的用户操作发起找回密码、解绑手机或更改密码等操作的时候,平台会优先推荐使用手机验证码进行验证,这个方式也确实是目前阶段最容易证明“你是你本人”的最优方式。


但是如果手机号码不可用,通过手机验证码无法验证,平台则会通过实名认证(姓名及身份证)、人脸识别验证、社交验证、预留密保信息验证等多种方式进行审核验证。


其中,社交和人脸识别实名认证安全性最高,但不是所有平台都可以实现。

微信采用的正是社交验证,当用户更换设备或者更换手机号之后,微信会要求用户寻找微信好友发送特定信息以验证身份。而在其他平台,可能会要求用户提供注册时预留的私密信息作为验证。


微信/QQ这种社交平台通过好友关系辅助认证有先天优势,而像美团、大众点评这种购物应用并不存在社交关系,在手机不可用的情况下,就只能以用户自留的隐私信息来作为验证手段”,而行业常用的手段就是:你家在哪?男女/朋友叫啥?XXX的生日是多少?这类的“密保问题”。密保问题这个是在WEB2.0时代就遗留下来的方式方法,早期QQ在没升级成“好官关系辅助认证”方式之前,采用的其实也是密保问题这样方式。


到了“预留信息验证”这个环节,我们就要聊聊“数据泄露”的问题了,王思聪是个公众人物,在过去的个人隐私数据大量泄露的复杂互联网环境里,找到他的身份证信息、手机号码并不难,比如之前云舒披露过的,微博泄露用户手机号通过微博名就可以查到绑定手机号的案例,王思聪是微博重度用户。


再加上他并没有固定的上网IP环境,全年都在移动中,实际上像王思聪这种用户“并不存在异常IP、异常登录”的风控逻辑,因为他全年都是异常。

如果通过这个方式,其实就很容易找到问题点。


看看大众点评APP当前的逻辑


事情已经发生了十几个小时,大众点评这边肯定自己复盘已经修复了很多东西,修复了系统并不代表修复了完整的业务逻辑,还有很多痕迹是可寻的,比如在大众点评操作APP“登录遇到问题”,你会得到这个界面:



原来的找回逻辑应该涉及“人工申诉找回”,其实网页端上通过客服机器人切到
“人工服务”也有这个入口,能来佐证,通过社会工程学欺骗客服找回,其实之前别的平台也有这个案例,这个入口肯定就是“培训问题”才能解决了。



我们直接选择“其他问题”,你就能看到这个特别有意思的找回逻辑:



注意黄色部分“更换手机号不需要原手机号接受验证码”,通过这里进去,现在的入口是关联你“SNS绑定账户”进行找回:



在我的APP上我只绑定了微信,想通过这个办法先盗走我微信再搞定大众点评,很难,但是我们看看除了绑定微信,大众点评还能绑什么?



是不是就又看到有意思的东西了呢?当然如果这帐号什么都没绑定,通过去欺骗人工客服,验证预留的:真实姓名、身份证号(甚至正反面照片)、原手机号在大数据信息泄露的时代,王思聪的这些信息并不难找。


最后通过美团的APP给大家录制一个组合利用,前提是必须知道对方的密保问题,有的触发“身份证上8位号码”,王思聪手机号和身份证泄露,就可以完成重置。



我的是触发比较难猜是用“支付密码”。(因为是先在美团测试的,可能由于是测试次数太多,进了风控收不到验证码了,在大众点评那边其实是一样的逻辑。)




给点建议


传统的社交媒体登录固然方便,但是遗留了很多“供应链攻击问题”,一旦某个平台的帐号被盗,你使用这个帐号绑定的其它平台就会集体沦陷,所以一般我建议只绑定微信,只要你不乱去搞什么第三方挂机、清粉软件以WX目前的验证逻辑被盗问题概率很低,即便是被盗找回的概率也极高,因为是常用的应用前一秒被盗号踹下来,很快就知道出了问题。


至于其它的,建议真的不要继续使用,同时在各种APP上涉及到“密保问题”的,千万不要填写真实内容,找个好记一点的代号,比如问你出生在哪里,你填个前男/女友名字,所问非所答的预留信息,肯定被人社工的概率就一下子低很多了。


至于平台方?取消密保验证机制尽量就都升级成为人脸识别验证,建议后续还是国家推动,如果手机号无法使用,真的建议一个可信的公立部门推出一个“认证云”,可以通过调SDK的方式,实现实名信息+人脸核验的比对认证,用于各平台的业务找回逻辑,当然在这个基础上要加上一个额外的“多因子认证”方式,避免AI对抗走到了人脸冒用的新信息安全技术问题里。




转载须知:


最近半年内经常“被动采访”出现在我毫不知情的媒体内容里,完整引用我倒是不觉得有什么,但是发现很多断章取义以及添油加醋变成“黑公关”内容的报道,希望大家互相尊重,特声明除了以下已多次合作建立信任的媒体:


澎湃新闻、人民网、新华网、新京报、IT时报、成都商报、重庆商报、南方都市报、梨视频、雷锋网、法制晚报、36Kr、环球时报


其它任何媒体引用我文章内部分内容都请与我确认授权。


站外完整内容转载烦请注明来自公众号:网络尖刀,作者:曲子龙,公众号内容转载,可以直接在下面留言公众号ID,我在后台开放白名单。



延伸阅读
  • 让王思聪花100万组装的电脑,有何不同?

    这几天,王思聪组装了一台顶级电脑(服务器)的话题冲上热搜,其总花费100多万元,跑分更是冲到了亚洲第一,世界第四。仅是一块硬盘都比很多人家里的电脑还贵。事情是这样的,博主@电丸科技AK 发布了一则视频

关注公众号:拾黑(shiheibook)了解更多

赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接