王思聰賬號被改綁警示了誰

▲10月10日，王思聰在微博發(fā)文稱其大眾點評賬戶被別人改綁手機號，導(dǎo)致無法登錄，再次引發(fā)了公眾對網(wǎng)絡(luò)信息安全的關(guān)注。這篇是今日就此事給新京報撰寫的專欄文章，因原文已見刊，于是原作者還要授權(quán)開白，可查閱新京報評論公眾號。

文 | 信海光

10月10日，王思聰在微博發(fā)文稱，自己的大眾點評賬戶被別人改綁手機號，導(dǎo)致無法登錄，并直言國家數(shù)據(jù)安全法實施后相關(guān)平臺“依舊我行我素”。

當(dāng)晚，大眾點評官博在王思聰?shù)脑u論區(qū)道歉，表示相關(guān)賬號第一時間內(nèi)予以保護性凍結(jié)，相關(guān)問題的核查已有初步信息，將“私信”與王思聰溝通。

互聯(lián)網(wǎng)世界中的安全事件時有發(fā)生，但由于王思聰是個坐擁數(shù)千萬粉絲的大V，且網(wǎng)絡(luò)安全話題普遍關(guān)心，此事也因此還是引起了社會關(guān)注。

由于相關(guān)細(xì)節(jié)尚在核查之中，到底是什么原因?qū)е聜€人平臺賬號被改綁手機號碼，目前還無法確知。但作為網(wǎng)絡(luò)安全常見現(xiàn)象，基于常識與目前普遍的手機綁定機制，問題無非出在兩個方面：

其一，相關(guān)平臺數(shù)據(jù)庫系統(tǒng)被黑客攻破，在后臺修改了王思聰賬戶的綁定手機號；其二，王思聰自己在手機號碼等個人數(shù)據(jù)安全保護上出現(xiàn)了疏漏，給了他人可乘之機。

目前看，黑客入侵的可能性基本可以排除，因為黑客入侵平臺是個大事件，不太可能只為改綁某人手機，這相當(dāng)于盜賊闖入金庫只拿走一個鋼镚兒，不合乎常理。因此，此次事件由手機號碼管理疏漏導(dǎo)致的可能性更大，這也涉及普遍的社會問題，更值得公眾關(guān)注。

▲ 一般人的網(wǎng)絡(luò)點評類賬戶價值并不大，但如果因此了解名人明星們的相關(guān)偏好，則具有實際經(jīng)濟利益。圖/IC photo

不排除有人刻意“撞庫”王思聰

在當(dāng)下人們的日常生活中，尤其是在電商購物等平臺，實名認(rèn)證和手機密碼驗證已經(jīng)司空見慣，很多平臺甚至還增加了人臉識別步驟。

但由于平臺屬性不同和歷史原因，依舊有一些平臺沒有強制進行實名認(rèn)證，尤其是早期注冊的賬戶，一般還能通過郵箱或者用戶名進行登錄，這就為用戶賬戶遭入侵留下了隱患。

于是，在此次事件中，就有網(wǎng)絡(luò)安全專家分析，王思聰疑似是被人套取個人信息后，通過多次“撞庫”等方式實現(xiàn)了盜綁，導(dǎo)致其平臺賬號安全面臨風(fēng)險。

“撞庫”是指不法者通過收集互聯(lián)網(wǎng)已泄露賬戶或隱私信息，嘗試登錄相關(guān)平臺，得到一系列可以登錄的賬戶。比如，微博賬戶和密碼被泄露，別人得到后去知乎嘗試登錄成功了，而你的生日信息和身份證信息被泄露了，別人也可能拿去猜測網(wǎng)站密碼。

這種情況存在的根源在于，用戶喜歡在不同平臺使用相同的密碼和用戶名——因為現(xiàn)在的平臺太多，又全面深入生活方方面面，不同密碼很難記憶，用起來也不方便。

顯然，“撞庫”對公眾人物的威脅要比對普通人大得多。比如，王思聰們就一直處于聚光燈下，其個人信息等隱私保護的難度自然更大。

此前，網(wǎng)絡(luò)也已發(fā)生過大量隱私泄露事件，包括明星們的電話號碼、身份證號、航空公司積分賬號等都曾被泄露上網(wǎng)。由于利益巨大，圍繞名人隱私信息甚至引發(fā)規(guī)模性黑產(chǎn)。

比如，在此次事件中，一般人的點評類賬戶價值其實并不大，但如果因此知道王思聰喜歡去哪些酒店、飯店、會所等，則具有實際經(jīng)濟利益，也不排除有人為此刻意“撞庫”。

▲ 目前世界上還沒有網(wǎng)絡(luò)安全萬全之策，但在個人注意自我保護的同時，互聯(lián)網(wǎng)公司也理應(yīng)做得更多更好，才符合我們的網(wǎng)絡(luò)社會現(xiàn)實。圖/IC photo

平臺不能過度依賴手機密碼驗證

此次事件中的另外一個關(guān)鍵詞是“手機”?！白矌臁笔录l發(fā)，引發(fā)平臺警覺，于是紛紛升級安全措施，手機號驗證漸成常態(tài)，似乎增加了一層安全保障。但對手機號的依賴，又引發(fā)了其他問題。

首先，互聯(lián)網(wǎng)平臺的用戶積累實際上是一個線性過程，其具有歷史延續(xù)性。如果現(xiàn)在強制手機驗證才能登錄或綁定手機，那么多年前注冊的一些賬戶就可能無法登錄，當(dāng)然也無法綁定新手機。這不僅會引發(fā)用戶不滿，對平臺也是一個損失。

另外，手機驗證雖然安全，但作為最后一層防護，其一旦被第三方惡意改綁，用戶就將無能為力。比如，王思聰這次被改了綁定手機號，就只能在微博上公開喊話，自己卻無法更改。

也就是說，如果把互聯(lián)網(wǎng)安全行為都與手機短信驗證強行綁定，除了用戶體驗更繁瑣，還有可能增加新的安全隱患。

要在平臺上改綁手機，可以通過向舊手機號發(fā)送驗證碼的方式進行。而這對于王思聰這種手機經(jīng)常被助理人員打理的公眾人物來說，就是個物理性安全漏洞。而且，從技術(shù)上而言，短信作為一種2G網(wǎng)絡(luò)的通信方式，其本身安全防護等級也并不高。

此前，就有多地警方破獲“偽基站”犯罪案件，犯罪分子利用GSM 2G網(wǎng)絡(luò)的設(shè)計缺陷，實現(xiàn)不接觸目標(biāo)手機就能獲得驗證短信，進而實現(xiàn)信息竊取、資金盜刷和網(wǎng)絡(luò)詐騙等犯罪。

當(dāng)然，“偽基站”是一種極小概率的犯罪方式，用戶無需為此恐慌，但其警示意義在于，我們不能把網(wǎng)絡(luò)安全過于依賴“短信驗證”。同樣的道理也適用于“人臉識別”。

辯證來看，目前世界上還沒有網(wǎng)絡(luò)安全的萬全之策，我們越是相信某種措施安全，其相關(guān)風(fēng)險可能越大。因為，在消費者意識中，信任的級別與托付的級別是相互掛鉤的，信任越多，則托付越大，一旦出現(xiàn)問題，損失也越大。

所以，對用戶而言，要實現(xiàn)真正的網(wǎng)絡(luò)安全，除了敦促平臺加強安保措施外，更重要的是注意自我保護，盡量少把不必要的隱私信息在互聯(lián)網(wǎng)上留跡。同時也要有兩手準(zhǔn)備，要預(yù)想到意外情況，一旦出現(xiàn)問題，才能把損失控制到最小。

最后需要強調(diào)的是，不管責(zé)任份額有多大，此次事件都理應(yīng)引起平臺方面對網(wǎng)絡(luò)安全問題的高度重視。

在網(wǎng)絡(luò)安全領(lǐng)域，我國面臨的任務(wù)比其他國家更重，這不只是因為我國有世界上最大的網(wǎng)絡(luò)用戶群體，還因為我國一直致力于網(wǎng)絡(luò)實名制，用戶在互聯(lián)網(wǎng)平臺上留存的真實信息比例更多，一旦泄露，損失必然更大。

從這個角度講，我國的互聯(lián)網(wǎng)公司理應(yīng)把對網(wǎng)絡(luò)安全領(lǐng)域的技術(shù)投入比例，長期維持到世界平均水平之上，才符合我們的網(wǎng)絡(luò)現(xiàn)實情況，未來也才有一個更加安全的數(shù)字化世界。

新京報特約撰稿人丨信海光（專欄作家）