论文部分内容阅读
2020年10月13日,十三届全国人大常委会第二十二次会议首次审议了个人信息保护法草案。而近日火爆网络的一篇梳理网络黑产如何通过偷盗手机来盗取个人资金的文章,恰恰验证了个人信息保护的重要性。这篇由信息安全专家根据亲身经历写成的文章,再次提醒人们,移动互联网越发达,越便利,个人信息泄露带来的风险就越大,保护个人信息安全,一定不可掉以轻心。
根据文章的描述,作者的家人手机被偷,由于没有第一时间挂失手机SIM卡,结果在短短半天之内,就被黑产犯罪团伙通过手机号获得的个人信息注册了支付宝新账号、到美团贷了款、到苏宁京東等网络商城买了充值卡等,损失几千块钱。这还是因为作者是资深金融信息安全专家,在反应过来后第一时间挂失了手机卡、银行卡、转走了支付宝微信等常用App里的现金余额,如果换做普通人遇到这样的情况,损失可能更为惨重。
而这样的遭遇,也很可能发生在普通人身上。移动互联网的发达,给人们带来了极大的便利,一部手机在手,几乎就可以办理所有的政务、金融、网上消费等各种业务。很多人的手机里都有不少这类App,而为了便利用户登录,很多App都设置了通过手机短信验证码的便捷登录方式。这隐藏着极大的风险。一旦手机丢失或者被盗,被犯罪分子破解了手机密码和电话卡,哪怕只是拿到一张手机卡,能接收短信,就可以登录很多App,进行贷款、消费等,还可能通过从中获取的用户信息,进行更多的操作,造成用户更多损失。
根据作者的描述,犯罪分子全程都是通过各个机构的正常操作来进行,只是把各个机构“弱验证”的相关业务链接起来,就给用户带来了巨大的损失。这意味着有些App在用户信息保护上存在漏洞,能够轻易被犯罪分子所利用。比如作者文中提到的四川人社App,只要有手机号和短信验证码即可登录,修改社保密码也只需要短信验证码。而有了社保密码,就可以拿到完整的姓名、身份证号、证件照片,还有社保卡上的金融账号,中间不需要人脸实名验证,姓名身份证号银行卡号等关键信息也是没有打码保护的。如果用户用丢失的手机注册了四川人社App,那关键信息就会暴露无遗。
而多数人在众多App上登记的手机一般都是同一个常用手机号码,很多应用的支付密码可以通过短信验证码来修改,有些可能再加上身份证号码、银行卡号验证。而犯罪分子有了用户的手机卡,加上姓名身份证号银行卡号等信息,就可以进行很多操作了。
文章作者的经历,暴露了不少机构在用户验证和用户信息保护方面存在漏洞,需要相关机构立即进行纠正。比如上文提到的人社App,应该改进登录验证方式,并对App上显示的用户关键信息进行打码保护。所有政务和金融应用都应该查漏补缺,看是否存在同样的问题。
还有一些有金融功能的App也存在问题,比如有些App的贷款审核不严,申请贷款时只要通过短信验证码,没有人脸实名验证。虽然网络贷款只能发放到同一人名下的储蓄卡,但用户储蓄卡也可能被盗,不能因此就放宽风控。要知道,现在各种小贷机构多如牛毛,很多知名互联网应用也都有贷款业务,如果这些业务实名制审核不严,就有可能被犯罪分子用用户的身份信息和被盗的银行卡申请贷款再盗刷。
还有不少App允许同一实名用户用不同手机号码注册多个账号,但是注册的手机号却不需要和实名用户一致(电信运营商也没有提供手机号码和用户实名一致的验证功能),这也带来了安全漏洞,犯罪分子攻不破原有的账号,还可以用用户的身份信息设立新账号来进行违法操作。
而作者一切遭遇的源头,都只是丢失了一部手机,其中起关键作用的是手机卡。而电信运营商的手机卡在电话挂失后,竟然还可以通过电话解挂,也让人费解。一般人的理解,SIM挂失后就不能使用,应该到营业厅才能补卡或者解挂。电信运营商在解挂SIM时,应该增加更强的用户实名验证,比如App解挂可以要求通过人脸识别,电话解挂可以通过预留问题答案等方式验证。否则,更多的便利,就可能存在被他人解挂的可能。
作者所遇到的是一个非常专业的黑产犯罪团伙。但是互联网时代,要掌握类似的犯罪技能并不是难事。一部手机被盗就能造成巨大的损失,这对普通人也是强烈的警示。由于几乎所有应用都支持手机号码登录,手机号码已经成为信息时代最为重要的个人信息之一。普通人必须提高警惕,务必保护好自己的手机,为手机和电话卡设置密码,一旦丢失立即锁死手机、挂失补办SIM卡,挂失所有银行卡,尽可能减少损失。
根据文章的描述,作者的家人手机被偷,由于没有第一时间挂失手机SIM卡,结果在短短半天之内,就被黑产犯罪团伙通过手机号获得的个人信息注册了支付宝新账号、到美团贷了款、到苏宁京東等网络商城买了充值卡等,损失几千块钱。这还是因为作者是资深金融信息安全专家,在反应过来后第一时间挂失了手机卡、银行卡、转走了支付宝微信等常用App里的现金余额,如果换做普通人遇到这样的情况,损失可能更为惨重。
而这样的遭遇,也很可能发生在普通人身上。移动互联网的发达,给人们带来了极大的便利,一部手机在手,几乎就可以办理所有的政务、金融、网上消费等各种业务。很多人的手机里都有不少这类App,而为了便利用户登录,很多App都设置了通过手机短信验证码的便捷登录方式。这隐藏着极大的风险。一旦手机丢失或者被盗,被犯罪分子破解了手机密码和电话卡,哪怕只是拿到一张手机卡,能接收短信,就可以登录很多App,进行贷款、消费等,还可能通过从中获取的用户信息,进行更多的操作,造成用户更多损失。
根据作者的描述,犯罪分子全程都是通过各个机构的正常操作来进行,只是把各个机构“弱验证”的相关业务链接起来,就给用户带来了巨大的损失。这意味着有些App在用户信息保护上存在漏洞,能够轻易被犯罪分子所利用。比如作者文中提到的四川人社App,只要有手机号和短信验证码即可登录,修改社保密码也只需要短信验证码。而有了社保密码,就可以拿到完整的姓名、身份证号、证件照片,还有社保卡上的金融账号,中间不需要人脸实名验证,姓名身份证号银行卡号等关键信息也是没有打码保护的。如果用户用丢失的手机注册了四川人社App,那关键信息就会暴露无遗。
而多数人在众多App上登记的手机一般都是同一个常用手机号码,很多应用的支付密码可以通过短信验证码来修改,有些可能再加上身份证号码、银行卡号验证。而犯罪分子有了用户的手机卡,加上姓名身份证号银行卡号等信息,就可以进行很多操作了。
文章作者的经历,暴露了不少机构在用户验证和用户信息保护方面存在漏洞,需要相关机构立即进行纠正。比如上文提到的人社App,应该改进登录验证方式,并对App上显示的用户关键信息进行打码保护。所有政务和金融应用都应该查漏补缺,看是否存在同样的问题。
还有一些有金融功能的App也存在问题,比如有些App的贷款审核不严,申请贷款时只要通过短信验证码,没有人脸实名验证。虽然网络贷款只能发放到同一人名下的储蓄卡,但用户储蓄卡也可能被盗,不能因此就放宽风控。要知道,现在各种小贷机构多如牛毛,很多知名互联网应用也都有贷款业务,如果这些业务实名制审核不严,就有可能被犯罪分子用用户的身份信息和被盗的银行卡申请贷款再盗刷。
还有不少App允许同一实名用户用不同手机号码注册多个账号,但是注册的手机号却不需要和实名用户一致(电信运营商也没有提供手机号码和用户实名一致的验证功能),这也带来了安全漏洞,犯罪分子攻不破原有的账号,还可以用用户的身份信息设立新账号来进行违法操作。
而作者一切遭遇的源头,都只是丢失了一部手机,其中起关键作用的是手机卡。而电信运营商的手机卡在电话挂失后,竟然还可以通过电话解挂,也让人费解。一般人的理解,SIM挂失后就不能使用,应该到营业厅才能补卡或者解挂。电信运营商在解挂SIM时,应该增加更强的用户实名验证,比如App解挂可以要求通过人脸识别,电话解挂可以通过预留问题答案等方式验证。否则,更多的便利,就可能存在被他人解挂的可能。
作者所遇到的是一个非常专业的黑产犯罪团伙。但是互联网时代,要掌握类似的犯罪技能并不是难事。一部手机被盗就能造成巨大的损失,这对普通人也是强烈的警示。由于几乎所有应用都支持手机号码登录,手机号码已经成为信息时代最为重要的个人信息之一。普通人必须提高警惕,务必保护好自己的手机,为手机和电话卡设置密码,一旦丢失立即锁死手机、挂失补办SIM卡,挂失所有银行卡,尽可能减少损失。