信安老司機手機丟失遭盜刷：多平臺中招，僅支付寶過關(guān)

10月9日消息 近日，一場手機丟失后的資金保衛(wèi)戰(zhàn)引發(fā)了全網(wǎng)關(guān)注。

一邊是擁有 10 年網(wǎng)絡(luò)攻防經(jīng)驗的信息安全專家 “老駱駝”，一邊分工明確不達目的不罷休的黑產(chǎn)團伙。雙方見招拆招之中，也讓整個互聯(lián)網(wǎng)行業(yè)經(jīng)歷了一場安全大考。

根據(jù)后續(xù)回應(yīng)，涉及到的平臺中僅兩家實現(xiàn)有效風(fēng)控：財付通和支付寶。其中財付通損失陸續(xù)被系統(tǒng)追回，但找不到客服是扣分點，支付寶沒有資金損失，算是及格。

在黑產(chǎn)利用偷到的手機套出個人信息，盜取銀行賬戶資金、申請網(wǎng)貸并轉(zhuǎn)移資產(chǎn)的過程中，電信運營商、社保 app、網(wǎng)貸平臺等多家平臺暴露了安全隱患，無形中為黑產(chǎn)提供了跳板：

1、 四川電信的遠程掛失和解掛的業(yè)務(wù)流程設(shè)存在問題，未能及時掛失手機卡，導(dǎo)致后續(xù)黑產(chǎn)通過四川人社廳 APP 快速獲取失主關(guān)鍵信息（姓名、手機號碼、身份證號、銀行卡號）。

2、 黑產(chǎn)利用原手機號和關(guān)鍵個人信息注冊支付軟件新賬號，繞過京東、蘇寧等平臺漏洞完成貸款申請、資金轉(zhuǎn)移，最后導(dǎo)致美團借貸產(chǎn)生 5000 元貸款，ETC 信用卡產(chǎn)生各類買卡、充值等消費記錄。

被點名的平臺陸續(xù)回應(yīng)，老駱駝在微信公眾號也更新了后續(xù)處理方式：美團消除了貸款記錄，蘇寧金融賠付了相關(guān)損失。四川電信也致電道歉，稱被黑產(chǎn)以 “男女朋友鬧矛盾”哄騙，導(dǎo)致反復(fù)掛失與解掛。

針對老駱駝關(guān)于黑產(chǎn)偽造人臉完成新賬號注冊的推測，支付寶安全實驗室回應(yīng)：黑產(chǎn)沒有在支付寶里套到任何錢和信息，也并未突破人臉驗證。能注冊新號是通過其他渠道已掌握的身份信息和短信驗證碼，在常用設(shè)備上實現(xiàn)的。

隨著移動支付的發(fā)展，手機不再是簡單的通訊工具，而是承載了更多的個人信息終端作用。丟手機意味著的不只是物理損失，更麻煩的是里面存儲的信息。

老駱駝的經(jīng)歷讓人 “后背發(fā)涼”的原因，正是因為只要有一家失守，就有可能全盤皆輸。他在回應(yīng)中總結(jié)：“黑產(chǎn)全程利用正常的業(yè)務(wù)操作，只是把各個機構(gòu)的‘弱驗證’連接起來，便形成了巨大破壞?！?/p>

互聯(lián)網(wǎng)平臺的安全性取決于整個行業(yè)的防控程度。這次盜刷事件，相當于給全行業(yè)做了壓力測試，被暴露出的木桶短板，則需要盡早補齊防控水位。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。