近日，有網友將自己手機失竊后遭遇的一系列個人信息被盜用的經歷寫成文章，刷屏朋友圈，引發熱議。

　　文章中，用戶手機被盜后未及時挂失電話卡，給不法分子留下了鑽空子的空間，不法分子通過“手機號+驗証碼”弱驗証方式獲取某政務APP中用戶身份証號等個人重要信息，利用用戶個人信息更改了手機服務密碼，利用話術欺騙誘導電信企業客服人員將已挂失的電話卡進行解挂，利用部分網貸平台“找回用戶密碼”漏洞重置用戶支付密碼騙取網貸資金，最終造成用戶財產損失。

　　值得注意的是，當前，使用手機短信驗証碼驗証用戶身份的技術，被廣泛應用於銀行金融、社交媒體、電子商務等各類移動APP服務。然而短信作為一種2G網絡的通信方式，其本身安全防護等級並不高。

　　對此，工信部近日發文表示，建議相關單位和企業及時對數據進行脫敏處理，並建議相關行業按照最小必要原則收集、存儲、使用用戶個人信息，對已收集存儲的用戶個人信息分級分類妥善保存。同時，工信部也提醒廣大用戶及時設置SIM卡密碼，在丟失手機后應第一時間挂失，強化安全風險意識。

　　相關業內專家在接受人民網IT頻道採訪時指出，這一事件也暴露了目前網上APP、支付等環節過於依賴“短信驗証”這一安全短板。基於2G網絡的短信安全驗証猶如“沙灘上的堡壘”，便捷之外存有安全隱患，網上支付平台、APP服務提供商應盡快堵住這一安全短板，完善用戶身份驗証措施，以確保用戶個人信息和財產的安全。

　　網上支付依賴“短信驗証”存隱患

　　當前，手機已成為許多人生活工作必備品，承載了手機號碼、銀行卡信息、社交媒體賬號信息等諸多個人信息，手機對保護個人信息安全的重要性日益突出。

　　雖然手機丟失只是極小概率的事件，但是也給個人信息安全保護敲響了警鐘。

　　隨著移動支付的普及，“短信驗証”是目前最便捷的驗証方式，人們隻需要在手機上操作，就可以便捷快速地完成開通業務、支付款項等活動。然而，科技的進步帶來的不僅是便捷，還有安全隱患。因此手機短信驗証碼已被廣泛應用於各類移動應用、網站服務。用戶可以通過短信驗証碼進行修改密碼、修改綁定郵箱等敏感操作。

　　同時，短信驗証碼也能讓用戶不輸賬號密碼直接登陸。目前大多數APP，在掌握手機號碼的前提下，都可以無密碼登陸。手機隻要收到系統發送的驗証碼，就可以快速登陸。

　　對手機用戶來說，一旦短信驗証碼內容被外泄，不法分子就可以利用獲取的用戶手機號碼和驗証碼登錄個人賬戶，用戶會面臨個人信息泄露甚至財產損失的風險。

　　360安全研究員俞奎認為，從研究所得的短信驗証碼多個攻擊角度來看，在這個案例中，存在漏洞的實體均沒有考慮手機號驗証的可信問題，即平台驗証的是設備，設備在誰手中，誰就是設備的“主人”，“這種情況下，一旦手機丟失、手機卡落到不法分子手中，或手機短信驗証碼被劫持，就可能存在身份被冒用、資金盜刷的情況”。

　　獨立電信分析師付亮認為，基於2G網絡的短信安全驗証猶如“沙灘上的堡壘”，便捷之外存有安全隱患，網上支付平台、APP服務提供商應盡快堵住這一安全短板，完善用戶身份驗証措施，以確保用戶個人信息和財產的安全。

　　人民網IT頻道在採訪過程中，多位來自通信、安全領域的業內人士均表示，目前涉及到支付確認、修改支付密碼等高度涉及用戶資金安全的驗証時，如果僅僅是依靠短信驗証碼來確認用戶身份，具有一定的安全隱患，希望有關部門及網上支付平台重視這個問題，尤其是網上支付平台不能為了便捷而犧牲用戶的資金安全。

　　從技術上來說，2G的GSM網絡使用單向鑒權技術，且短信內容以明文形式傳輸，該缺陷由GSM設計造成，且GSM網絡覆蓋范圍廣，因此修復難度大、成本高。

　　更重要的是，對於網上支付平台來說，除了短信驗証之外，在涉及大額支付及修改用戶交易密碼等關鍵環節，增加新的驗証手段，比如引入指紋、人臉識別等方式，也刻不容緩。

　　用戶身份信息保護機制仍待完善

　　在這起案件中，不法分子在失主挂失電話卡后，利用話術欺騙誘導電信企業客服人員將已挂失的電話卡進行解挂，從而獲取了某些APP的短信驗証碼。

　　工信部對此強調，要求三家基礎電信企業在服務密碼重置、解挂等涉及用戶身份的敏感環節，在方便用戶辦理業務的同時強化安全防護，加強客服人員風險防范意識培訓，警惕業務異常辦理行為。

　　人民網記者從中國電信了解到，目前，丟失手機所屬地運營商四川電信，已經取消了電話解挂的方式。

　　中國聯通則表示，為了保障用戶的信息安全和財產安全，將強化現有解挂流程的身份認証。未來，用戶辦理挂失業務后，可通過兩種方式辦理解挂，一是攜帶有效証件到營業廳辦理解挂業務，二是通過人証一致的活體認証后在手廳進行解挂操作。

　　同時，中國聯通現階段暫時關閉手廳、10010人工和智能客服等渠道的解挂操作，號碼登記人需要攜帶本人有效身份証件至聯通營業廳核驗身份信息后補卡或解除挂失﹔用戶仍可通過營業廳、手廳、10010等渠道便捷挂失。

　　據了解，為方便異地用戶，中國聯通已實現跨域服務，在異地的聯通自有營業廳也可提供補卡/解挂失服務，用戶可以選擇就近聯通自有營業廳進行辦理。

　　中國移動表示，將按工信部要求，優化客戶服務密碼重置、解挂流程，在涉及用戶身份的敏感環節強化安全防護，加快應用遠程人像比對身份鑒權，保障客戶辦理便捷性和安全性，並進一步強化信息安全防范意識宣傳，做好同類場景的客戶溝通和風險提示。

　　互聯網企業應承擔更大安全責任

　　針對短信驗証帶來的安全隱患，全國信息安全標准化技術委員會在2018年2月曾聯合多家單位發布了《網絡安全實踐指南——應對截獲短信驗証碼實施網絡身份假冒攻擊的技術指引》，明確指出了基於短信驗証碼實現身份驗証的安全風險現狀、困難點，並給出了目前專家們認為可行的方案。

　　《安全指南》建議，各移動應用、網站服務提供商對業務系統中短信驗証碼的使用方式進行摸底，例如在用戶注冊、密碼找回、資金支付等環節的短信驗証碼使用情況，並評估相關安全風險，優化用戶身份驗証措施。建議採用多種方式組合，加強安全性。

　　這份指南同時強調，個人用戶應做好手機號、身份証號、銀行卡號、支付平台賬號等敏感信息的保護。在收到來歷不明的短信驗証碼等異常情況時，提高警惕，及時聯系相關移動應用、網站服務提供商。

　　專家提出，面對層出不窮的網絡攻擊技術，互聯網企業更應該有所行動，加強風險防范，承擔起更大的責任。

　　對此，人民網IT頻道採訪了微信、京東金融等互聯網企業。微信官方表示，目前微信具有“帳號保護”機制、緊急凍結功能，以及防詐騙提醒機制﹔同時微信支付具有一整套的安全機制和手段，包括：錢包鎖、支付密碼驗証、終端異常判斷、交易異常實時監控、交易攔截等。若用戶不慎丟失手機，應該第一時間撥打微信支付客服專線“95017”轉9鍵自助凍結賬戶支付能力，可有效避免資金損失。

　　京東金融方面表示，建議用戶及時撥打京東金融官方客服電話：95118，與官方客服取得聯系，在核實身份信息后，為用戶提供止付等動作，協助用戶降低資金被盜風險，避免資金損失。

　　俞奎則建議，針對這起案例中出現的情況，從攻擊角度來看，作為用戶可以通過以下幾個層面來安全防護：

　　1、給手機SIM卡設置密碼，防止手機丟失后，手機卡被盜用。

　　2、手機丟失后，及時聯系運營商挂失手機卡，防止手機丟失后，手機卡被盜用。

　　3、給手機設置復雜的解鎖密碼（超過6位的數字+字母），防止手機鎖屏密碼短期內被破解。

　　4、給手機應用設置安全鎖，防止他人獲得手機應用內信息。

分享讓更多人看到