今日,小弟手机在晚上1点过收到短信,说您正在修改在百度糯米上绑定的手机号,如非本人操作,请立即致电4006888887【百度糯米】,这个时候百度客服已经下班,没办法即使联系客服进行处理,如果账户有钱的话,那上面的钱多半就会被使用,幸好小弟里面的钱没有被使用,只是修改了注册手机号,连密码都没有修改。
百度糯米账户被盗,我第一反应就是为什么修改百度糯米绑定账户不需要原手机号短信认证呢?于是我就登陆查看,原来百度糯米修改手机号,只需要您账户是登陆状态,然后点击修改手机号,输入原手机号,再输入新手机号,获取新手机号就可以绑定到新手机号上了,如果百度糯米账户是手机注册的,那么您的账号名也就变了,如果手机号被修改了,黑客可以接着修改账户密码、账户邮箱,要么这个账户就是黑客的了,您打电话到百度糯米,报手机号已经查不到了,如果是报邮箱,也因黑客修改查不到了,此时,您的账户就真的无法找回了。
从开头百度糯米账户被登陆,到后面百度糯米账户无法找回,其实就只需要黑客知道您的登陆账户和密码以及您的手机号,那么这些信息哪里来的呢?还记得几年前CSDN和天涯社区论坛的密码泄露问题吗?这些信息以及在网上公开,比如一家叫社工库的网站,直接可以查询到目前网络上大部分公开的密码库,就因为这些账号泄露了,而您的百度糯米账户和密码恰好和这密码库的信息匹配,您百度糯米账户余额全部就会被黑客盗用,而且百度糯米客服也无法为您找回。
就因为黑客知道用户的账户和密码,就会导致您的账户全部被盗。小弟除了说自己的密码被公开是某些不道德网站明文保持用户信息被泄露以外,我还想说百度糯米网的系统逻辑有问题,具体有什么问题呢?我们下面来分析下。
首先第一点,黑客通过用户账户和密码登陆百度糯米,然后修改绑定手机号,只需要输入原手机号、新手机号、新手机号验证码,问题就来了,按道理修改绑定手机号都是需要原手机号验证码的,为什么百度糯米却不需要呢?这样的话百度糯米网的安全就只有唯一的判断,那就是用户密码,有了密码什么都可以修改。
其次第二点,黑客修改了绑定手机号以后,还可以修改绑定邮箱,流程一样,通过绑定手机号验证短信输入新邮箱就可以了。一个账号的用户名、邮箱就这样被简单的肆意修改掉了。
第三点,修改用户密码,相信这点更没有难度了。输入原密码,在输入新密码,就这么快速的修改了。
从一开始的黑客登陆账户,到后面修改手机号、修改邮箱、修改密码,几分钟内就可以无压力的搞定,此时此刻您的百度糯米账户信息以及全部被修改了,百度糯米也没有什么安全问题之类的设置。到用户账户被盗后即可致电百度糯米客服,先不说晚上1点没有客服上班只有等早上8点联系。就算当时是在客服上班时间,我们用户打电话联系百度糯米,客服问手机号多少,那你报手机号查询结果是没有的,因为黑客已经修改了手机号了,账户名呢?用户当时用手机号注册的,帐号名就是手机号,黑客已经修改手机号了,帐号名也就跟着变了,此时通过帐号名、手机号都无法查找,目前就只剩下邮箱了,可是唯一的邮箱也被黑客修改了呢?此时您所有的查询信息都无法查找到您的账户了,百度糯米客服也没办法帮你找回,您的百度糯米账户从事就等于没有了,当然,账户的余额肯定是没有了的。不过庆幸的一点就是,百度糯米网没有绑定银行卡的功能,如果有的话,那小弟不敢想象会发生什么严重的后果了。
在此,希望百度糯米除了谴责黑客社工用户信息盗号以外,更应该修复下自身的网站逻辑设置问题,防止更多的用户出现该问题。
附加一些近日在微博上网友发的一些自己百度糯米账户被盗的微博信息来证明下该问题比较严重:
A5创业网 版权所有