美团|王思聪因盗号怒喷美团，万亿巨头怎么就庇护不了用户盗号|王思聪|大众点评|网络安

文章图片

文章图片

文章图片

文章图片

继10月8日市场监管总局依法对美团实施“二选一”垄断行为作出行政处罚，责令其停止违法行为，并处以2020年中国境内销售额（1147.48亿元）3% ，共计34.42亿元的罚款，并被用户指出，美团APP在iOS系统中以5分钟为间隔，从凌晨到深夜持续索取定位信息的同时。日前，知名“网红”王思聪在10月10日连发两条微博称，自己的大众点评账号被人改绑手机号，并@大众点评质问， “这就是上万亿市值公司的安全系统吗？”
对于王思聪被盗号后的吐槽，大众点评的回应不可谓不迅速且诚恳。其在微博中回复到， “您好，非常抱歉给您带来了不愉快的用户体验，相关账号已在反馈后的第一时间内予以保护性冻结。相关问题的核查已有初步信息，我们会在私信中与您同步” 。据悉，目前美团方面已经上线了新的账号安全策略，并修改手机号限制为“最近6个月修改过手机号的用户” 。
事实上，账号被盗并不稀奇，想必许多朋友在漫长的网上冲浪生涯中或多或少都曾遇到这个问题，只不过这一次被盗的是王思聪这样一个拥有千万粉丝的“网红” ，也使得美团相对“脆弱”的账号保护体系浮出了水面。如果真的如网友所言，仅凭手机号、身份证号、消费过的订单号、生日等信息，且完全不需要动态验证码，那么美团的账号安全体系确实可能有着致命的缺陷。
通常来说，账号被盗有三种主要途径。第一种是暴力穷举/字典攻击，在互联网时代早期，以经典“123456”为代表的弱口令正是许多用户常用的密码，使得盗号者能够直接用简单粗暴的穷举法来完成盗号，甚至“有心人”在研究了网民设计密码的行为习惯和规律后，还组建了专门的“字典” 。当然，伴随着互联网的发展，当各平台对密码长度和复杂度都有了更高的要求后，如今太过简单的密码往往是不会被平台验证通过的。
第二种盗号方式，则是“钓鱼” 。传奇黑客凯文·米特尼克有句话很经典，那就是“相比花时间通过黑客技术来入侵系统，通过话术设置情境让某个人自动交出密码要简单很多” 。而各种网络诈骗团伙骗取你的银行卡密码，往往靠的就是伪造官网或官方邮件来骗取信任。
第三种方法，是撞库。这是基于大多数用户密码趋向简单化，并且存在多个账号共用一个密码的情况，而诞生的盗号方式。不法分子利用一套已知的账号密码在不同平台进行尝试，最终筛选出有价值的账号整合成“信封’进行售卖。
既然王思聪在被盗号这件事上称大众点评是“除了恰烂钱做虚假分数还会点啥” ，也这意味着其账号被盗并非是因为自己的原因，也就排除了被不法分子进行钓鱼的可能。而至于撞库这种情况的概率也很低，因为如果被撞库而被盗号，往往受到影响的账号就不止是大众点评。例如早在2015年时，网易邮箱系统数据库被黑客攻破，许多用户在一夜之间遭遇了游戏、微博、百度网盘等不同平台账号同时被盗的情况。
那么，王思聪的账号到底是怎么被盗的呢？有网友表示，只要获得手机号和生日就可以换绑手机号，然后就能看到各种美团订餐订单、买药订单、开房订单、家庭住址等私密信息。同时有其他网友透露，在修改账号密码时，美团客服给出回答是需要手机号、身份证号、消费过的订单号就可以实现，并不需要短信等动态验证方式。
换句话来说，此次被盗号或许与密码无关，而是极有可能遭遇了传说中的“社工库攻击” 。事实上，社工库同样是凯文·米特尼克在《欺骗的艺术》中提出的概念，指的是社会工程学数据库（Social Engineering Database）。而所谓的社会工程学，是利用人性的弱点来体察、获取有价值信息的实践方法，是一种欺骗的艺术，并且这并非一门学科而是一个方法论。