您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
特写 正文
发私信给小芹菜
发送

5

小米短信同步让父母银行卡被盗10万?扒一扒事情的来龙去脉

本文作者: 小芹菜 2016-08-22 19:16
导语:这两天发生了因为疑似攻击者通过小米短信云同步功能窃取银行验证短信,从而盗取十万元现金的事件。

事件回顾——究竟哪里出问题了?

8月21日晚,一篇《小米短信同步缺陷让父母银行卡被盗十万元》的知乎文章引起关注,整个事件简单来说就是:

事主父母的浦发银行卡被盗刷10万(含贷款4万),检查下来发现是被人攻破了小米云的密码,事主父母此前开启了小米云的“短信同步”服务,导致银行的验证短信被截获。

“妈妈的手机是小米5,早上手机收到了小米'新增云同步设备'的通知提醒,二十分钟后陆续收到银行发送的多条短信验证码、多条转账成功还有贷款成功的通知,时间间隔非常短。”事主知乎这样写道。

小米“新增云同步设备”的通知提醒截图如下:

小米短信同步让父母银行卡被盗10万?扒一扒事情的来龙去脉

(来自事主的知乎,现原文已被暂时清除)

事件疑点:

1、银行卡和密码怎么丢的没有说清楚。

2、银行为什么给办理了贷款?

3、手机是否中了木马未知。

另外,事主在知乎原文中记录:“在犯罪分子用浏览器尝试登陆小米云服务、并打开短信同步权限时,下发过手机验证码”但是事主并不知情,”在小米手机5上也看不到这条验证短信,期间SIM卡完全正常运行。”小米的说法是,接受这条验证码的设备是小米3,推测可能是SIM复制卡,但是如果是复制卡,是可以直接收到银行验证短信,那么就无需再通过小米云服务同步短信来操作了。

小米短信同步让父母银行卡被盗10万?扒一扒事情的来龙去脉

(截图来自事主知乎最后更新)

关于这个说法,雷锋网也咨询了资深安全人士,他表示两边的逻辑都不完全通——

“首先确实事主说的对,如果手机卡已经被复制,那么就无须再通过小米云获取银行的短信验证码。但是事主所说的关于复制卡就会导致原卡失效也是错误的,只有补卡或者换卡的时候会导致原卡失效,复制卡如果成功两张卡是可以同时使用的。

也就是说,在成功的情况下,复制卡是可以同时使用的。

2、短信验证的缺陷

这并不是小米第一次因为短信验证缺陷带来的盗刷事件。

上个月,山西的王先生因为小米账号被盗,利用小米云服务的短信同步收获其短信验证码,并将事主本人手机里的短信自动删除,盗刷其银行存款。

而与此类似的是,运营商的“短信托管”服务也曾被诟病,就是因为不法分子会利用非法手段获取客户的相关信息和密码,再利用客户信息开通了客户手机的“短信保管箱”业务,从而获取交易验证短信并盗取资金。

运营商一方面推出了短信密码验证服务,另外并没有对短信的安全性进行升级,包括移动的短信托管服务。另一方面,其他部门还是把短信当做是通信服务来看待,认知偏差导致了使用场景和设计场景的偏差。银行会觉得,你运营商既然开通了短信验证密码服务,你就得保护用户短信的安全。

除了以上方法,手机木马、伪基站、钓鱼Wi-Fi都可以被利用从而获得短信验证码,进而盗刷银行存款。

那么,银行方面为什么不用令牌?除了成本,就是市场对便捷性的追求。

“为什么要大力推手机银行,因为成本,还有创新业务和增值服务。小米为什么要搞云,因为提高用户粘度,提供长尾增值服务,说不定还可以通过分析短信内容去挖掘用户习惯。那么安全在哪里呢?安全在业务推广和成本压力下被忽视了,用户就被赤裸裸地挂在黑暗森林里。”资深安全人士这样告诉雷锋网。

3、不仅仅是小米的责任

从事主的账号被盗、云服务同步短信到最后发生银行卡盗刷行为,这个过程中涉及:手机厂商、运营商和银行。

客观来看,这件事光打小米是不合理的。

首先小米的云同步不是默认设置的,一般用户会使用默认设置,如果修改默认设置就意味着后果自负。

如图:

小米短信同步让父母银行卡被盗10万?扒一扒事情的来龙去脉

其次,法律中的直接后果原则,即有限责任原则:小米提供云服务,只承担云服务的责任,银行提供金融服务就承担金融服务的责任。举个简单的例子,比如你用短信发的商业机密被泄露了,运营商只需要承担泄露隐私的责任,而不是赔你合同,承担泄密的后果。

这样的说法对大多数用户来说,显得过于冰冷。在这件事情中,小米的责任是肯定有的,比如云服务商应该对存放在云端的数据有所选择,比如涉及照片等用户隐私、银行信息等敏感数据提醒用户或者默认不同步,并且进行二次验证。

而从用户角度,银行卡和密码又是怎么泄露的?可能的情况实在太多了:

是不是家里的网络有问题?

之前是否在不安全的地方用过网银?

小米云备份的短信信息泄露了银行卡和密码?(有人会在短信上保存银行卡密码等信息)

......

这个事件其中一个疑点就是贷款问题,如果贷款真的办下来了,要不就是银行规则有漏洞,要不就是银行内部人员操作。因为线上办贷款,这种事情,即使是浦发银行也做不出来的。

追究到最后,整个事件的核心问题还是在于银行的风险管控,毕竟银行是短信验证的最终得益者。

银行应该细分场景然后进行风险控制,比如手机支付在2万元以下,或者可疑的支付行为有电话进行调查。

今天上午,小米方面已经积极配合,事主也将内容暂时清空,而事件疑点也有待进一步解开。截止雷锋网发稿为止,事主的知乎内容如下:

小米短信同步让父母银行卡被盗10万?扒一扒事情的来龙去脉

关于这个事件背后的责任问题,雷锋网邀请了启明星辰副总裁shotgun做深度分析,可关注雷锋网后续出文。

雷锋网注:转载请联系授权,并保留出处和作者,不得删减内容。

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

编辑

雷锋网编辑,AI慕课学院负责人。关注智能驾驶与金融科技,欢迎来撩:www.mooc.ai。
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说