沙上堡壘？“短信驗證碼”成個人信息安全大隱患

近日，有網(wǎng)友將自己手機失竊后遭遇的一系列個人信息被盜用的經(jīng)歷寫成文章，刷屏朋友圈，引發(fā)熱議。

文章中，用戶手機被盜后未及時掛失電話卡，給不法分子留下了鉆空子的空間，不法分子通過“手機號+驗證碼”弱驗證方式獲取某政務(wù)APP中用戶身份證號等個人重要信息，利用用戶個人信息更改了手機服務(wù)密碼，利用話術(shù)欺騙誘導(dǎo)電信企業(yè)客服人員將已掛失的電話卡進行解掛，利用部分網(wǎng)貸平臺“找回用戶密碼”漏洞重置用戶支付密碼騙取網(wǎng)貸資金，最終造成用戶財產(chǎn)損失。

值得注意的是，當前，使用手機短信驗證碼驗證用戶身份的技術(shù)，被廣泛應(yīng)用于銀行金融、社交媒體、電子商務(wù)等各類移動APP服務(wù)。然而短信作為一種2G網(wǎng)絡(luò)的通信方式，其本身安全防護等級并不高。

對此，工信部近日發(fā)文表示，建議相關(guān)單位和企業(yè)及時對數(shù)據(jù)進行脫敏處理，并建議相關(guān)行業(yè)按照最小必要原則收集、存儲、使用用戶個人信息，對已收集存儲的用戶個人信息分級分類妥善保存。同時，工信部也提醒廣大用戶及時設(shè)置SIM卡密碼，在丟失手機后應(yīng)第一時間掛失，強化安全風險意識。

相關(guān)業(yè)內(nèi)專家在接受人民網(wǎng)IT頻道采訪時指出，這一事件也暴露了目前網(wǎng)上APP、支付等環(huán)節(jié)過于依賴“短信驗證”這一安全短板?；?G網(wǎng)絡(luò)的短信安全驗證猶如“沙灘上的堡壘”，便捷之外存有安全隱患，網(wǎng)上支付平臺、APP服務(wù)提供商應(yīng)盡快堵住這一安全短板，完善用戶身份驗證措施，以確保用戶個人信息和財產(chǎn)的安全。

網(wǎng)上支付依賴“短信驗證”存隱患

當前，手機已成為許多人生活工作必備品，承載了手機號碼、銀行卡信息、社交媒體賬號信息等諸多個人信息，手機對保護個人信息安全的重要性日益突出。

雖然手機丟失只是極小概率的事件，但是也給個人信息安全保護敲響了警鐘。

隨著移動支付的普及，“短信驗證”是目前最便捷的驗證方式，人們只需要在手機上操作，就可以便捷快速地完成開通業(yè)務(wù)、支付款項等活動。然而，科技的進步帶來的不僅是便捷，還有安全隱患。因此手機短信驗證碼已被廣泛應(yīng)用于各類移動應(yīng)用、網(wǎng)站服務(wù)。用戶可以通過短信驗證碼進行修改密碼、修改綁定郵箱等敏感操作。

同時，短信驗證碼也能讓用戶不輸賬號密碼直接登陸。目前大多數(shù)APP，在掌握手機號碼的前提下，都可以無密碼登陸。手機只要收到系統(tǒng)發(fā)送的驗證碼，就可以快速登陸。

對手機用戶來說，一旦短信驗證碼內(nèi)容被外泄，不法分子就可以利用獲取的用戶手機號碼和驗證碼登錄個人賬戶，用戶會面臨個人信息泄露甚至財產(chǎn)損失的風險。

360安全研究員俞奎認為，從研究所得的短信驗證碼多個攻擊角度來看，在這個案例中，存在漏洞的實體均沒有考慮手機號驗證的可信問題，即平臺驗證的是設(shè)備，設(shè)備在誰手中，誰就是設(shè)備的“主人”，“這種情況下，一旦手機丟失、手機卡落到不法分子手中，或手機短信驗證碼被劫持，就可能存在身份被冒用、資金盜刷的情況”。

獨立電信分析師付亮認為，基于2G網(wǎng)絡(luò)的短信安全驗證猶如“沙灘上的堡壘”，便捷之外存有安全隱患，網(wǎng)上支付平臺、APP服務(wù)提供商應(yīng)盡快堵住這一安全短板，完善用戶身份驗證措施，以確保用戶個人信息和財產(chǎn)的安全。

人民網(wǎng)IT頻道在采訪過程中，多位來自通信、安全領(lǐng)域的業(yè)內(nèi)人士均表示，目前涉及到支付確認、修改支付密碼等高度涉及用戶資金安全的驗證時，如果僅僅是依靠短信驗證碼來確認用戶身份，具有一定的安全隱患，希望有關(guān)部門及網(wǎng)上支付平臺重視這個問題，尤其是網(wǎng)上支付平臺不能為了便捷而犧牲用戶的資金安全。

從技術(shù)上來說，2G的GSM網(wǎng)絡(luò)使用單向鑒權(quán)技術(shù)，且短信內(nèi)容以明文形式傳輸，該缺陷由GSM設(shè)計造成，且GSM網(wǎng)絡(luò)覆蓋范圍廣，因此修復(fù)難度大、成本高。

更重要的是，對于網(wǎng)上支付平臺來說，除了短信驗證之外，在涉及大額支付及修改用戶交易密碼等關(guān)鍵環(huán)節(jié)，增加新的驗證手段，比如引入指紋、人臉識別等方式，也刻不容緩。

用戶身份信息保護機制仍待完善

在這起案件中，不法分子在失主掛失電話卡后，利用話術(shù)欺騙誘導(dǎo)電信企業(yè)客服人員將已掛失的電話卡進行解掛，從而獲取了某些APP的短信驗證碼。

工信部對此強調(diào)，要求三家基礎(chǔ)電信企業(yè)在服務(wù)密碼重置、解掛等涉及用戶身份的敏感環(huán)節(jié)，在方便用戶辦理業(yè)務(wù)的同時強化安全防護，加強客服人員風險防范意識培訓(xùn)，警惕業(yè)務(wù)異常辦理行為。

人民網(wǎng)記者從中國電信了解到，目前，丟失手機所屬地運營商四川電信，已經(jīng)取消了電話解掛的方式。

中國聯(lián)通則表示，為了保障用戶的信息安全和財產(chǎn)安全，將強化現(xiàn)有解掛流程的身份認證。未來，用戶辦理掛失業(yè)務(wù)后，可通過兩種方式辦理解掛，一是攜帶有效證件到營業(yè)廳辦理解掛業(yè)務(wù)，二是通過人證一致的活體認證后在手廳進行解掛操作。

同時，中國聯(lián)通現(xiàn)階段暫時關(guān)閉手廳、10010人工和智能客服等渠道的解掛操作，號碼登記人需要攜帶本人有效身份證件至聯(lián)通營業(yè)廳核驗身份信息后補卡或解除掛失；用戶仍可通過營業(yè)廳、手廳、10010等渠道便捷掛失。

據(jù)了解，為方便異地用戶，中國聯(lián)通已實現(xiàn)跨域服務(wù)，在異地的聯(lián)通自有營業(yè)廳也可提供補卡/解掛失服務(wù)，用戶可以選擇就近聯(lián)通自有營業(yè)廳進行辦理。

中國移動表示，將按工信部要求，優(yōu)化客戶服務(wù)密碼重置、解掛流程，在涉及用戶身份的敏感環(huán)節(jié)強化安全防護，加快應(yīng)用遠程人像比對身份鑒權(quán)，保障客戶辦理便捷性和安全性，并進一步強化信息安全防范意識宣傳，做好同類場景的客戶溝通和風險提示。

互聯(lián)網(wǎng)企業(yè)應(yīng)承擔更大安全責任

針對短信驗證帶來的安全隱患，全國信息安全標準化技術(shù)委員會在2018年2月曾聯(lián)合多家單位發(fā)布了《網(wǎng)絡(luò)安全實踐指南——應(yīng)對截獲短信驗證碼實施網(wǎng)絡(luò)身份假冒攻擊的技術(shù)指引》，明確指出了基于短信驗證碼實現(xiàn)身份驗證的安全風險現(xiàn)狀、困難點，并給出了目前專家們認為可行的方案。

《安全指南》建議，各移動應(yīng)用、網(wǎng)站服務(wù)提供商對業(yè)務(wù)系統(tǒng)中短信驗證碼的使用方式進行摸底，例如在用戶注冊、密碼找回、資金支付等環(huán)節(jié)的短信驗證碼使用情況，并評估相關(guān)安全風險，優(yōu)化用戶身份驗證措施。建議采用多種方式組合，加強安全性。

這份指南同時強調(diào)，個人用戶應(yīng)做好手機號、身份證號、銀行卡號、支付平臺賬號等敏感信息的保護。在收到來歷不明的短信驗證碼等異常情況時，提高警惕，及時聯(lián)系相關(guān)移動應(yīng)用、網(wǎng)站服務(wù)提供商。

專家提出，面對層出不窮的網(wǎng)絡(luò)攻擊技術(shù)，互聯(lián)網(wǎng)企業(yè)更應(yīng)該有所行動，加強風險防范，承擔起更大的責任。

對此，人民網(wǎng)IT頻道采訪了微信、京東金融等互聯(lián)網(wǎng)企業(yè)。微信官方表示，目前微信具有“帳號保護”機制、緊急凍結(jié)功能，以及防詐騙提醒機制；同時微信支付具有一整套的安全機制和手段，包括：錢包鎖、支付密碼驗證、終端異常判斷、交易異常實時監(jiān)控、交易攔截等。若用戶不慎丟失手機，應(yīng)該第一時間撥打微信支付客服專線“95017”轉(zhuǎn)9鍵自助凍結(jié)賬戶支付能力，可有效避免資金損失。

京東金融方面表示，建議用戶及時撥打京東金融官方客服電話：95118，與官方客服取得聯(lián)系，在核實身份信息后，為用戶提供止付等動作，協(xié)助用戶降低資金被盜風險，避免資金損失。

俞奎則建議，針對這起案例中出現(xiàn)的情況，從攻擊角度來看，作為用戶可以通過以下幾個層面來安全防護：

1、給手機SIM卡設(shè)置密碼，防止手機丟失后，手機卡被盜用。

2、手機丟失后，及時聯(lián)系運營商掛失手機卡，防止手機丟失后，手機卡被盜用。

3、給手機設(shè)置復(fù)雜的解鎖密碼（超過6位的數(shù)字+字母），防止手機鎖屏密碼短期內(nèi)被破解。

4、給手機應(yīng)用設(shè)置安全鎖，防止他人獲得手機應(yīng)用內(nèi)信息。