沙上堡垒?“短信验证码”成个人信息安全大隐患
近日,有网友将自己手机失窃后遭遇的一系列个人信息被盗用的经历写成文章,刷屏朋友圈,引发热议。
文章中,用户手机被盗后未及时挂失电话卡,给不法分子留下了钻空子的空间,不法分子通过“手机号+验证码”弱验证方式获取某政务APP中用户身份证号等个人重要信息,利用用户个人信息更改了手机服务密码,利用话术欺骗诱导电信企业客服人员将已挂失的电话卡进行解挂,利用部分网贷平台“找回用户密码”漏洞重置用户支付密码骗取网贷资金,最终造成用户财产损失。
值得注意的是,当前,使用手机短信验证码验证用户身份的技术,被广泛应用于银行金融、社交媒体、电子商务等各类移动APP服务。然而短信作为一种2G网络的通信方式,其本身安全防护等级并不高。
对此,工信部近日发文表示,建议相关单位和企业及时对数据进行脱敏处理,并建议相关行业按照最小必要原则收集、存储、使用用户个人信息,对已收集存储的用户个人信息分级分类妥善保存。同时,工信部也提醒广大用户及时设置SIM卡密码,在丢失手机后应第一时间挂失,强化安全风险意识。
相关业内专家在接受人民网IT频道采访时指出,这一事件也暴露了目前网上APP、支付等环节过于依赖“短信验证”这一安全短板。基于2G网络的短信安全验证犹如“沙滩上的堡垒”,便捷之外存有安全隐患,网上支付平台、APP服务提供商应尽快堵住这一安全短板,完善用户身份验证措施,以确保用户个人信息和财产的安全。
网上支付依赖“短信验证”存隐患
当前,手机已成为许多人生活工作必备品,承载了手机号码、银行卡信息、社交媒体账号信息等诸多个人信息,手机对保护个人信息安全的重要性日益突出。
虽然手机丢失只是极小概率的事件,但是也给个人信息安全保护敲响了警钟。
随着移动支付的普及,“短信验证”是目前最便捷的验证方式,人们只需要在手机上操作,就可以便捷快速地完成开通业务、支付款项等活动。然而,科技的进步带来的不仅是便捷,还有安全隐患。因此手机短信验证码已被广泛应用于各类移动应用、网站服务。用户可以通过短信验证码进行修改密码、修改绑定邮箱等敏感操作。
同时,短信验证码也能让用户不输账号密码直接登陆。目前大多数APP,在掌握手机号码的前提下,都可以无密码登陆。手机只要收到系统发送的验证码,就可以快速登陆。
对手机用户来说,一旦短信验证码内容被外泄,不法分子就可以利用获取的用户手机号码和验证码登录个人账户,用户会面临个人信息泄露甚至财产损失的风险。
360安全研究员俞奎认为,从研究所得的短信验证码多个攻击角度来看,在这个案例中,存在漏洞的实体均没有考虑手机号验证的可信问题,即平台验证的是设备,设备在谁手中,谁就是设备的“主人”,“这种情况下,一旦手机丢失、手机卡落到不法分子手中,或手机短信验证码被劫持,就可能存在身份被冒用、资金盗刷的情况”。
独立电信分析师付亮认为,基于2G网络的短信安全验证犹如“沙滩上的堡垒”,便捷之外存有安全隐患,网上支付平台、APP服务提供商应尽快堵住这一安全短板,完善用户身份验证措施,以确保用户个人信息和财产的安全。
人民网IT频道在采访过程中,多位来自通信、安全领域的业内人士均表示,目前涉及到支付确认、修改支付密码等高度涉及用户资金安全的验证时,如果仅仅是依靠短信验证码来确认用户身份,具有一定的安全隐患,希望有关部门及网上支付平台重视这个问题,尤其是网上支付平台不能为了便捷而牺牲用户的资金安全。
从技术上来说,2G的GSM网络使用单向鉴权技术,且短信内容以明文形式传输,该缺陷由GSM设计造成,且GSM网络覆盖范围广,因此修复难度大、成本高。
更重要的是,对于网上支付平台来说,除了短信验证之外,在涉及大额支付及修改用户交易密码等关键环节,增加新的验证手段,比如引入指纹、人脸识别等方式,也刻不容缓。
用户身份信息保护机制仍待完善
在这起案件中,不法分子在失主挂失电话卡后,利用话术欺骗诱导电信企业客服人员将已挂失的电话卡进行解挂,从而获取了某些APP的短信验证码。
工信部对此强调,要求三家基础电信企业在服务密码重置、解挂等涉及用户身份的敏感环节,在方便用户办理业务的同时强化安全防护,加强客服人员风险防范意识培训,警惕业务异常办理行为。
人民网记者从中国电信了解到,目前,丢失手机所属地运营商四川电信,已经取消了电话解挂的方式。
中国联通则表示,为了保障用户的信息安全和财产安全,将强化现有解挂流程的身份认证。未来,用户办理挂失业务后,可通过两种方式办理解挂,一是携带有效证件到营业厅办理解挂业务,二是通过人证一致的活体认证后在手厅进行解挂操作。
同时,中国联通现阶段暂时关闭手厅、10010人工和智能客服等渠道的解挂操作,号码登记人需要携带本人有效身份证件至联通营业厅核验身份信息后补卡或解除挂失;用户仍可通过营业厅、手厅、10010等渠道便捷挂失。
据了解,为方便异地用户,中国联通已实现跨域服务,在异地的联通自有营业厅也可提供补卡/解挂失服务,用户可以选择就近联通自有营业厅进行办理。
中国移动表示,将按工信部要求,优化客户服务密码重置、解挂流程,在涉及用户身份的敏感环节强化安全防护,加快应用远程人像比对身份鉴权,保障客户办理便捷性和安全性,并进一步强化信息安全防范意识宣传,做好同类场景的客户沟通和风险提示。
互联网企业应承担更大安全责任
针对短信验证带来的安全隐患,全国信息安全标准化技术委员会在2018年2月曾联合多家单位发布了《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》,明确指出了基于短信验证码实现身份验证的安全风险现状、困难点,并给出了目前专家们认为可行的方案。
《安全指南》建议,各移动应用、网站服务提供商对业务系统中短信验证码的使用方式进行摸底,例如在用户注册、密码找回、资金支付等环节的短信验证码使用情况,并评估相关安全风险,优化用户身份验证措施。建议采用多种方式组合,加强安全性。
这份指南同时强调,个人用户应做好手机号、身份证号、银行卡号、支付平台账号等敏感信息的保护。在收到来历不明的短信验证码等异常情况时,提高警惕,及时联系相关移动应用、网站服务提供商。
专家提出,面对层出不穷的网络攻击技术,互联网企业更应该有所行动,加强风险防范,承担起更大的责任。
对此,人民网IT频道采访了微信、京东金融等互联网企业。微信官方表示,目前微信具有“帐号保护”机制、紧急冻结功能,以及防诈骗提醒机制;同时微信支付具有一整套的安全机制和手段,包括:钱包锁、支付密码验证、终端异常判断、交易异常实时监控、交易拦截等。若用户不慎丢失手机,应该第一时间拨打微信支付客服专线“95017”转9键自助冻结账户支付能力,可有效避免资金损失。
京东金融方面表示,建议用户及时拨打京东金融官方客服电话:95118,与官方客服取得联系,在核实身份信息后,为用户提供止付等动作,协助用户降低资金被盗风险,避免资金损失。
俞奎则建议,针对这起案例中出现的情况,从攻击角度来看,作为用户可以通过以下几个层面来安全防护:
1、给手机SIM卡设置密码,防止手机丢失后,手机卡被盗用。
2、手机丢失后,及时联系运营商挂失手机卡,防止手机丢失后,手机卡被盗用。
3、给手机设置复杂的解锁密码(超过6位的数字+字母),防止手机锁屏密码短期内被破解。
4、给手机应用设置安全锁,防止他人获得手机应用内信息。
(责编:赵超、吕骞)