5
| 本文作者: 小芹菜 | 2016-08-22 19:16 |
事件回顧——究竟哪里出問題了?
8月21日晚,一篇《小米短信同步缺陷讓父母銀行卡被盜十萬元》的知乎文章引起關注,整個事件簡單來說就是:
事主父母的浦發銀行卡被盜刷10萬(含貸款4萬),檢查下來發現是被人攻破了小米云的密碼,事主父母此前開啟了小米云的“短信同步”服務,導致銀行的驗證短信被截獲。
“媽媽的手機是小米5,早上手機收到了小米'新增云同步設備'的通知提醒,二十分鐘后陸續收到銀行發送的多條短信驗證碼、多條轉賬成功還有貸款成功的通知,時間間隔非常短。”事主知乎這樣寫道。
小米“新增云同步設備”的通知提醒截圖如下:
(來自事主的知乎,現原文已被暫時清除)
事件疑點:
1、銀行卡和密碼怎么丟的沒有說清楚。
2、銀行為什么給辦理了貸款?
3、手機是否中了木馬未知。
另外,事主在知乎原文中記錄:“在犯罪分子用瀏覽器嘗試登陸小米云服務、并打開短信同步權限時,下發過手機驗證碼”但是事主并不知情,”在小米手機5上也看不到這條驗證短信,期間SIM卡完全正常運行。”小米的說法是,接受這條驗證碼的設備是小米3,推測可能是SIM復制卡,但是如果是復制卡,是可以直接收到銀行驗證短信,那么就無需再通過小米云服務同步短信來操作了。
(截圖來自事主知乎最后更新)
關于這個說法,雷鋒網也咨詢了資深安全人士,他表示兩邊的邏輯都不完全通——
“首先確實事主說的對,如果手機卡已經被復制,那么就無須再通過小米云獲取銀行的短信驗證碼。但是事主所說的關于復制卡就會導致原卡失效也是錯誤的,只有補卡或者換卡的時候會導致原卡失效,復制卡如果成功兩張卡是可以同時使用的。”
也就是說,在成功的情況下,復制卡是可以同時使用的。
這并不是小米第一次因為短信驗證缺陷帶來的盜刷事件。
上個月,山西的王先生因為小米賬號被盜,利用小米云服務的短信同步收獲其短信驗證碼,并將事主本人手機里的短信自動刪除,盜刷其銀行存款。
而與此類似的是,運營商的“短信托管”服務也曾被詬病,就是因為不法分子會利用非法手段獲取客戶的相關信息和密碼,再利用客戶信息開通了客戶手機的“短信保管箱”業務,從而獲取交易驗證短信并盜取資金。
運營商一方面推出了短信密碼驗證服務,另外并沒有對短信的安全性進行升級,包括移動的短信托管服務。另一方面,其他部門還是把短信當做是通信服務來看待,認知偏差導致了使用場景和設計場景的偏差。銀行會覺得,你運營商既然開通了短信驗證密碼服務,你就得保護用戶短信的安全。
除了以上方法,手機木馬、偽基站、釣魚Wi-Fi都可以被利用從而獲得短信驗證碼,進而盜刷銀行存款。
那么,銀行方面為什么不用令牌?除了成本,就是市場對便捷性的追求。
“為什么要大力推手機銀行,因為成本,還有創新業務和增值服務。小米為什么要搞云,因為提高用戶粘度,提供長尾增值服務,說不定還可以通過分析短信內容去挖掘用戶習慣。那么安全在哪里呢?安全在業務推廣和成本壓力下被忽視了,用戶就被赤裸裸地掛在黑暗森林里。”資深安全人士這樣告訴雷鋒網。
從事主的賬號被盜、云服務同步短信到最后發生銀行卡盜刷行為,這個過程中涉及:手機廠商、運營商和銀行。
客觀來看,這件事光打小米是不合理的。
首先小米的云同步不是默認設置的,一般用戶會使用默認設置,如果修改默認設置就意味著后果自負。
如圖:
其次,法律中的直接后果原則,即有限責任原則:小米提供云服務,只承擔云服務的責任,銀行提供金融服務就承擔金融服務的責任。舉個簡單的例子,比如你用短信發的商業機密被泄露了,運營商只需要承擔泄露隱私的責任,而不是賠你合同,承擔泄密的后果。
這樣的說法對大多數用戶來說,顯得過于冰冷。在這件事情中,小米的責任是肯定有的,比如云服務商應該對存放在云端的數據有所選擇,比如涉及照片等用戶隱私、銀行信息等敏感數據提醒用戶或者默認不同步,并且進行二次驗證。
而從用戶角度,銀行卡和密碼又是怎么泄露的?可能的情況實在太多了:
是不是家里的網絡有問題?
之前是否在不安全的地方用過網銀?
小米云備份的短信信息泄露了銀行卡和密碼?(有人會在短信上保存銀行卡密碼等信息)
......
這個事件其中一個疑點就是貸款問題,如果貸款真的辦下來了,要不就是銀行規則有漏洞,要不就是銀行內部人員操作。因為線上辦貸款,這種事情,即使是浦發銀行也做不出來的。
追究到最后,整個事件的核心問題還是在于銀行的風險管控,畢竟銀行是短信驗證的最終得益者。
銀行應該細分場景然后進行風險控制,比如手機支付在2萬元以下,或者可疑的支付行為有電話進行調查。
今天上午,小米方面已經積極配合,事主也將內容暫時清空,而事件疑點也有待進一步解開。截止雷鋒網發稿為止,事主的知乎內容如下:
關于這個事件背后的責任問題,雷鋒網邀請了啟明星辰副總裁shotgun做深度分析,可關注雷鋒網后續出文。
雷鋒網注:轉載請聯系授權,并保留出處和作者,不得刪減內容。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
