沙上堡壘?“短信驗證碼”成個人信息安全大隱患
近日,有網友將自己手機失竊後遭遇的一系列個人信息被盜用的經歷寫成文章,刷屏朋友圈,引發熱議。
文章中,用户手機被盜後未及時掛失電話卡,給不法分子留下了鑽空子的空間,不法分子通過“手機號 驗證碼”弱驗證方式獲取某政務APP中用户身份證號等個人重要信息,利用用户個人信息更改了手機服務密碼,利用話術欺騙誘導電信企業客服人員將已掛失的電話卡進行解掛,利用部分網貸平台“找回用户密碼”漏洞重置用户支付密碼騙取網貸資金,最終造成用户財產損失。
值得注意的是,當前,使用手機短信驗證碼驗證用户身份的技術,被廣泛應用於銀行金融、社交媒體、電子商務等各類移動APP服務。然而短信作為一種2G網絡的通信方式,其本身安全防護等級並不高。
對此,工信部近日發文表示,建議相關單位和企業及時對數據進行脱敏處理,並建議相關行業按照最小必要原則收集、存儲、使用用户個人信息,對已收集存儲的用户個人信息分級分類妥善保存。同時,工信部也提醒廣大用户及時設置SIM卡密碼,在丟失手機後應第一時間掛失,強化安全風險意識。
相關業內專家在接受人民網IT頻道採訪時指出,這一事件也暴露了目前網上APP、支付等環節過於依賴“短信驗證”這一安全短板。基於2G網絡的短信安全驗證猶如“沙灘上的堡壘”,便捷之外存有安全隱患,網上支付平台、APP服務提供商應儘快堵住這一安全短板,完善用户身份驗證措施,以確保用户個人信息和財產的安全。
網上支付依賴“短信驗證”存隱患
當前,手機已成為許多人生活工作必備品,承載了手機號碼、銀行卡信息、社交媒體賬號信息等諸多個人信息,手機對保護個人信息安全的重要性日益突出。
雖然手機丟失只是極小概率的事件,但是也給個人信息安全保護敲響了警鐘。
隨着移動支付的普及,“短信驗證”是目前最便捷的驗證方式,人們只需要在手機上操作,就可以便捷快速地完成開通業務、支付款項等活動。然而,科技的進步帶來的不僅是便捷,還有安全隱患。因此手機短信驗證碼已被廣泛應用於各類移動應用、網站服務。用户可以通過短信驗證碼進行修改密碼、修改綁定郵箱等敏感操作。
同時,短信驗證碼也能讓用户不輸賬號密碼直接登陸。目前大多數APP,在掌握手機號碼的前提下,都可以無密碼登陸。手機只要收到系統發送的驗證碼,就可以快速登陸。
對手機用户來説,一旦短信驗證碼內容被外泄,不法分子就可以利用獲取的用户手機號碼和驗證碼登錄個人賬户,用户會面臨個人信息泄露甚至財產損失的風險。
360安全研究員俞奎認為,從研究所得的短信驗證碼多個攻擊角度來看,在這個案例中,存在漏洞的實體均沒有考慮手機號驗證的可信問題,即平台驗證的是設備,設備在誰手中,誰就是設備的“主人”,“這種情況下,一旦手機丟失、手機卡落到不法分子手中,或手機短信驗證碼被劫持,就可能存在身份被冒用、資金盜刷的情況”。
獨立電信分析師付亮認為,基於2G網絡的短信安全驗證猶如“沙灘上的堡壘”,便捷之外存有安全隱患,網上支付平台、APP服務提供商應儘快堵住這一安全短板,完善用户身份驗證措施,以確保用户個人信息和財產的安全。
人民網IT頻道在採訪過程中,多位來自通信、安全領域的業內人士均表示,目前涉及到支付確認、修改支付密碼等高度涉及用户資金安全的驗證時,如果僅僅是依靠短信驗證碼來確認用户身份,具有一定的安全隱患,希望有關部門及網上支付平台重視這個問題,尤其是網上支付平台不能為了便捷而犧牲用户的資金安全。
從技術上來説,2G的GSM網絡使用單向鑑權技術,且短信內容以明文形式傳輸,該缺陷由GSM設計造成,且GSM網絡覆蓋範圍廣,因此修復難度大、成本高。
更重要的是,對於網上支付平台來説,除了短信驗證之外,在涉及大額支付及修改用户交易密碼等關鍵環節,增加新的驗證手段,比如引入指紋、人臉識別等方式,也刻不容緩。
用户身份信息保護機制仍待完善
在這起案件中,不法分子在失主掛失電話卡後,利用話術欺騙誘導電信企業客服人員將已掛失的電話卡進行解掛,從而獲取了某些APP的短信驗證碼。
工信部對此強調,要求三家基礎電信企業在服務密碼重置、解掛等涉及用户身份的敏感環節,在方便用户辦理業務的同時強化安全防護,加強客服人員風險防範意識培訓,警惕業務異常辦理行為。
人民網記者從中國電信瞭解到,目前,丟失手機所屬地運營商四川電信,已經取消了電話解掛的方式。
中國聯通則表示,為了保障用户的信息安全和財產安全,將強化現有解掛流程的身份認證。未來,用户辦理掛失業務後,可通過兩種方式辦理解掛,一是攜帶有效證件到營業廳辦理解掛業務,二是通過人證一致的活體認證後在手廳進行解掛操作。
同時,中國聯通現階段暫時關閉手廳、10010人工和智能客服等渠道的解掛操作,號碼登記人需要攜帶本人有效身份證件至聯通營業廳核驗身份信息後補卡或解除掛失;用户仍可通過營業廳、手廳、10010等渠道便捷掛失。
據瞭解,為方便異地用户,中國聯通已實現跨域服務,在異地的聯通自有營業廳也可提供補卡/解掛失服務,用户可以選擇就近聯通自有營業廳進行辦理。
中國移動表示,將按工信部要求,優化客户服務密碼重置、解掛流程,在涉及用户身份的敏感環節強化安全防護,加快應用遠程人像比對身份鑑權,保障客户辦理便捷性和安全性,並進一步強化信息安全防範意識宣傳,做好同類場景的客户溝通和風險提示。
互聯網企業應承擔更大安全責任
針對短信驗證帶來的安全隱患,全國信息安全標準化技術委員會在2018年2月曾聯合多家單位發佈了《網絡安全實踐指南——應對截獲短信驗證碼實施網絡身份假冒攻擊的技術指引》,明確指出了基於短信驗證碼實現身份驗證的安全風險現狀、困難點,並給出了目前專家們認為可行的方案。
《安全指南》建議,各移動應用、網站服務提供商對業務系統中短信驗證碼的使用方式進行摸底,例如在用户註冊、密碼找回、資金支付等環節的短信驗證碼使用情況,並評估相關安全風險,優化用户身份驗證措施。建議採用多種方式組合,加強安全性。
這份指南同時強調,個人用户應做好手機號、身份證號、銀行卡號、支付平台賬號等敏感信息的保護。在收到來歷不明的短信驗證碼等異常情況時,提高警惕,及時聯繫相關移動應用、網站服務提供商。
專家提出,面對層出不窮的網絡攻擊技術,互聯網企業更應該有所行動,加強風險防範,承擔起更大的責任。
對此,人民網IT頻道採訪了微信、京東金融等互聯網企業。微信官方表示,目前微信具有“帳號保護”機制、緊急凍結功能,以及防詐騙提醒機制;同時微信支付具有一整套的安全機制和手段,包括:錢包鎖、支付密碼驗證、終端異常判斷、交易異常實時監控、交易攔截等。若用户不慎丟失手機,應該第一時間撥打微信支付客服專線“95017”轉9鍵自助凍結賬户支付能力,可有效避免資金損失。
京東金融方面表示,建議用户及時撥打京東金融官方客服電話:95118,與官方客服取得聯繫,在核實身份信息後,為用户提供止付等動作,協助用户降低資金被盜風險,避免資金損失。
俞奎則建議,針對這起案例中出現的情況,從攻擊角度來看,作為用户可以通過以下幾個層面來安全防護:
1、給手機SIM卡設置密碼,防止手機丟失後,手機卡被盜用。
2、手機丟失後,及時聯繫運營商掛失手機卡,防止手機丟失後,手機卡被盜用。
3、給手機設置複雜的解鎖密碼(超過6位的數字 字母),防止手機鎖屏密碼短期內被破解。
4、給手機應用設置安全鎖,防止他人獲得手機應用內信息。