短信验证码|沙上堡垒?“短信验证码”成个人信息安全大隐患
近日 , 有网友将自己手机失窃后遭遇的一系列个人信息被盗用的经历写成文章 , 刷屏朋友圈 , 引发热议 。
文章中 , 用户手机被盗后未及时挂失电话卡 , 给不法分子留下了钻空子的空间 , 不法分子通过手机号+验证码弱验证方式获取某政务APP中用户身份证号等个人重要信息 , 利用用户个人信息更改了手机服务密码 , 利用话术欺骗诱导电信企业客服人员将已挂失的电话卡进行解挂 , 利用部分网贷平台找回用户密码漏洞重置用户支付密码骗取网贷资金 , 最终造成用户财产损失 。
值得注意的是 , 当前 , 使用手机短信验证码验证用户身份的技术 , 被广泛应用于银行金融、社交媒体、电子商务等各类移动APP服务 。 然而短信作为一种2G网络的通信方式 , 其本身安全防护等级并不高 。
对此 , 工信部近日发文表示 , 建议相关单位和企业及时对数据进行脱敏处理 , 并建议相关行业按照最小必要原则收集、存储、使用用户个人信息 , 对已收集存储的用户个人信息分级分类妥善保存 。 同时 , 工信部也提醒广大用户及时设置SIM卡密码 , 在丢失手机后应第一时间挂失 , 强化安全风险意识 。
相关业内专家在接受人民网IT频道采访时指出 , 这一事件也暴露了目前网上APP、支付等环节过于依赖短信验证这一安全短板 。 基于2G网络的短信安全验证犹如沙滩上的堡垒 , 便捷之外存有安全隐患 , 网上支付平台、APP服务提供商应尽快堵住这一安全短板 , 完善用户身份验证措施 , 以确保用户个人信息和财产的安全 。
网上支付依赖短信验证存隐患
当前 , 手机已成为许多人生活工作必备品 , 承载了手机号码、银行卡信息、社交媒体账号信息等诸多个人信息 , 手机对保护个人信息安全的重要性日益突出 。
虽然手机丢失只是极小概率的事件 , 但是也给个人信息安全保护敲响了警钟 。
随着移动支付的普及 , 短信验证是目前最便捷的验证方式 , 人们只需要在手机上操作 , 就可以便捷快速地完成开通业务、支付款项等活动 。 然而 , 科技的进步带来的不仅是便捷 , 还有安全隐患 。 因此手机短信验证码已被广泛应用于各类移动应用、网站服务 。 用户可以通过短信验证码进行修改密码、修改绑定邮箱等敏感操作 。
同时 , 短信验证码也能让用户不输账号密码直接登陆 。 目前大多数APP , 在掌握手机号码的前提下 , 都可以无密码登陆 。 手机只要收到系统发送的验证码 , 就可以快速登陆 。
对手机用户来说 , 一旦短信验证码内容被外泄 , 不法分子就可以利用获取的用户手机号码和验证码登录个人账户 , 用户会面临个人信息泄露甚至财产损失的风险 。
360安全研究员俞奎认为 , 从研究所得的短信验证码多个攻击角度来看 , 在这个案例中 , 存在漏洞的实体均没有考虑手机号验证的可信问题 , 即平台验证的是设备 , 设备在谁手中 , 谁就是设备的主人 , 这种情况下 , 一旦手机丢失、手机卡落到不法分子手中 , 或手机短信验证码被劫持 , 就可能存在身份被冒用、资金盗刷的情况 。
独立电信分析师付亮认为 , 基于2G网络的短信安全验证犹如沙滩上的堡垒 , 便捷之外存有安全隐患 , 网上支付平台、APP服务提供商应尽快堵住这一安全短板 , 完善用户身份验证措施 , 以确保用户个人信息和财产的安全 。
人民网IT频道在采访过程中 , 多位来自通信、安全领域的业内人士均表示 , 目前涉及到支付确认、修改支付密码等高度涉及用户资金安全的验证时 , 如果仅仅是依靠短信验证码来确认用户身份 , 具有一定的安全隐患 , 希望有关部门及网上支付平台重视这个问题 , 尤其是网上支付平台不能为了便捷而牺牲用户的资金安全 。
从技术上来说 , 2G的GSM网络使用单向鉴权技术 , 且短信内容以明文形式传输 , 该缺陷由GSM设计造成 , 且GSM网络覆盖范围广 , 因此修复难度大、成本高 。
更重要的是 , 对于网上支付平台来说 , 除了短信验证之外 , 在涉及大额支付及修改用户交易密码等关键环节 , 增加新的验证手段 , 比如引入指纹、人脸识别等方式 , 也刻不容缓 。
用户身份信息保护机制仍待完善
在这起案件中 , 不法分子在失主挂失电话卡后 , 利用话术欺骗诱导电信企业客服人员将已挂失的电话卡进行解挂 , 从而获取了某些APP的短信验证码 。
工信部对此强调 , 要求三家基础电信企业在服务密码重置、解挂等涉及用户身份的敏感环节 , 在方便用户办理业务的同时强化安全防护 , 加强客服人员风险防范意识培训 , 警惕业务异常办理行为 。
人民网采访人员从中国电信了解到 , 目前 , 丢失手机所属地运营商四川电信 , 已经取消了电话解挂的方式 。
中国联通则表示 , 为了保障用户的信息安全和财产安全 , 将强化现有解挂流程的身份认证 。 未来 , 用户办理挂失业务后 , 可通过两种方式办理解挂 , 一是携带有效证件到营业厅办理解挂业务 , 二是通过人证一致的活体认证后在手厅进行解挂操作 。
同时 , 中国联通现阶段暂时关闭手厅、10010人工和智能客服等渠道的解挂操作 , 号码登记人需要携带本人有效身份证件至联通营业厅核验身份信息后补卡或解除挂失;用户仍可通过营业厅、手厅、10010等渠道便捷挂失 。
推荐阅读
![新华网|德国法兰克福“跳蚤市场”重新开放[组图]](https://mz.eastday.com/16510358.jpeg)
- 当事人|驻西班牙使馆:留学生、侨胞谨防借“桑坦德银行”名义短信诈骗
- 海峡消费报社|女子外卖吃到苍蝇点差评,过后收到“死亡威胁”短信,店家:弄死你
- 节目|无奈!李冰冰十年前就提出演员商品论,录《我就是演员》又被验证
- 短信|短信还能玩出什么新花样?这家公司想用智慧消息创新企业服务| 界面创新家?
- 短信|短信“勤快”了“红包”满天飞 这样儿的促销招人烦
- 直播|北京市场监管局:直播平台要对带货经营者实人实名验证
- 时间要闻|湖北22岁失联女教师遇害,手机发出诡异短信,父母猜测令人后怕
- 苹果|苹果关闭iOS 14.0.1验证:iOS 14.1用户无法降级了
- App|为0.1元短信费,她把这款App告到法院
- 短信|极客演示发送5G伪造短信 黑产团队可借此漏洞冒名要求转账