如何看待@曹一聰《小米簡訊同步缺陷讓父母銀行卡被盜十萬元》的文章?
@陳德碧 提供了截圖
http://zhuanlan.zhihu.com/p/22112908
我建議啊,僅僅是一個建議:
這種經濟損失的事情,最好走司法途徑解決。
如果該用戶覺得是小米雲服務的問題,導致了自己資金的損失。
那就去對小米提一個訴訟好了。
無論是覺得小米是違反了用戶協議,提違約之訴;還是認為小米自己雲服務方面有過失,對他提一個侵權之訴,都可以。
看看法院最終會認定用戶幾成責任,小米幾成責任,抑或是小米哪裡違約了,那就承擔違約責任就是。
判決書一下去,更能實現題主說的「敦促小米改進安全機制」的目標。
如果覺得浦發銀行劃款和貸款沒有按照法律法規、央行規定和流程走,出事了也不管,那就去起訴它,違約侵權隨你選。起訴材料交過去法院分分鐘就會立案,真要是浦發銀行的責任的話挽回損失沒有一點問題,訴訟費都是被告承擔。同時還可以直接去向央行和銀監會舉報,舉報材料抄送浦發銀行總部,真要是有違規操作浦發銀行會比你更急。
如果覺得公安機關不履行法定職責,或者說玩忽職守,那就去上級公安機關提起行政複議,或者去檢察院請求立案監督。複議維持的話就去對公安局提行政訴訟,現在實行立案登記制,你這個情況沒有立不上案子的道理。
總之,解決問題的渠道有很多,你隨時都可以請求司法途徑的救濟。
受到了經濟損失,那就去追究你認為的侵權人的責任,浦發銀行跑不了,小米也跑不了。
究竟是誰的過錯、誰應該承擔多少責任,法院自然可以給出公平合理的責任劃分,這麼小的案子也不用擔心什麼案外因素。
問題出現了,只想通過網路渠道曝光來施壓,打出聳人聽聞的標題,陳述片面的事實甚至是扭曲的事實來博取同情、引導輿論壓力;覺得別人拿自己當軟柿子於是自己也去找一個軟柿子來捏,利用廣大不知情知友的關注來實現自己的目的——這恐怕就沒意思了。
事實和法律都不利,就把水攪渾——這樣的套路,咱們大家都身經百戰,見得多了。
我的母校曾經就遇到過這樣的事,有興趣的知友可以百度一下張在元與武漢大學的糾紛,張教授家屬當年的所作所為曾經讓我大開眼界。最後:我之所以這麼說,是因為我自己也在使用小米雲服務,還經常切換設備,我自己知道是不是真的存在該用戶描述的問題。
相信小米雲大量的用戶也心知肚明。
看見一堆不明真相群眾亂七八糟說來說去。麻煩自己驗證一下再發表言論好嗎?
前天晚上,那篇文章發出不久我們群就有人發了鏈接,幾個小夥伴表示很懷疑,測試了一下。結果,通知類簡訊根本不能同步。
1.第一次三台手機測試,防止有人說你們是今天才測試的,發有明確時間的聊天記錄圖
我信任我小夥伴的測試。
2.另一個小夥伴的測試
注意簡訊條數。
測了好幾次,通知類根本沒用過去。
會有人說,你們測試時候小米改了。
拜託,小米公關有那速度嗎?我們在他文章發出不久就測試。我們測試是在雲的邏輯操作更新之前(昨天更新,徹底不顯示七天內信息),我剛看見又發了一篇文章結尾說可以同步,請告訴我怎麼同步的?
答案中有個怨聲載道的前小米員工,評論區回復說,在跟小米內部交流時候也隱藏細節。
你能把整個事件無保留說清楚嗎?隱藏大量細節,找了軟柿子捏,真會玩,呵呵。
看了遍原文,有一段這麼描述
這明顯是回調的驗證碼被攔截髮送到其他手機,源手機中木馬的幾率大,跟小米雲有什麼關係?
update 8月24日
謝評論區@顧曉偉 提醒。通知類延遲在2014年就有了
知道銀行屌,公安機關更屌,看著小米麵善,不捏小米捏誰?
我覺著這樣的事最好就是通過法律途徑,手裡那麼多證據,有多少經得起法庭質證的,自己心裡清楚吧,為什麼要在網路上發布是想擴大影響別讓銀行、公安、小米晾著,告上法庭無論從輿論還是解決問題都是最有效的,為啥不告?
說到底,還是對自己在這件事中應負的責任心裡沒底,網路輿論根本起不到你描述的目的,公安機關根本不擂你,銀行這樣的事見得多了所以根本不怕輿論,只有小米作為互聯網公司最怕網路輿論,所以你的目的只打到了三分之一,這個結果不難想到吧,你還是選擇這個途徑,不選擇司法途徑,難以理解。
其實有個很簡單的辦法解決簡訊同步所帶來的驗證碼安全問題:
只要把簡訊同步的延遲時間設得足夠長,超過絕大多數簡訊驗證碼的有效期就可以了。
一般的驗證碼有效期也就5分鐘以內,而同步延遲個十分鐘大部分用戶是無所謂的。
edit: 退n步講,我把同步延遲設到1天,大部分用戶也不會覺得有什麼問題吧。無非就是如果你手機壞了丟了,那麼最後一天的簡訊就丟失了哦。。。1. 選擇性放出部分真相.
2. 避重就輕, 迅速找出最有話題性, 而且最軟的柿子 - 小米
3. 特意選在知乎這個黑米政治正確的平台發布.
4. 得到小米回應後迅速刪除全文, 但不關評論, 也不刪除自己回復的評論, 讓事件繼續發酵.
他父母因該慶幸自己有這麼一個聰明機智的兒子, 憑一己之力把整個知乎攪渾了來達到自己的目的, 雖然目的並不是作惡, 手段乾淨不幹凈我也不評價, 但是蠻厲害的.
update 一下:
已經有用戶證明miui 不會及時同步驗證碼簡訊,他的驗證碼泄露很大可能是因為源手機中了木馬,這也能賴小米???
微軟表示我好方, 辣么多windows中木馬損失都來賴我分分鐘破產以謝天下.看到這個問題,我也驗證了一下小米賬戶的安全機制。
首先我們能看到小米手機的小米賬戶這裡是有「登錄設備管理」和「賬號保護」這兩項的。
點開登錄設備管理,能看到當前設備
再點開其他設備,沒有登錄其他設備。需要注意的是,這裡顯示的設備好像只顯示手機,如果你登錄了電腦,是不會顯示的。
而打開賬號保護,是如下界面,能看到通過驗證的設備。而這裡是能看到是否登錄過瀏覽器。
我在另一台未驗證過的小米手機上登錄我的小米賬號時,是這樣的。需要賬號綁定的手機號簡訊驗證。
在電腦上登錄雲服務是這樣的。也需要簡訊驗證。
未驗證的設備都是需要簡訊驗證碼的,這說明小米賬戶在登錄機制上是沒有問題的。如果說在另一台手機上登錄卻不需要驗證碼,那我認為最大的可能性是,這台手機曾經登錄過這個賬號,是已經被驗證過的。如果沒有,那可能是小米雲的伺服器抽風,出bug了,但是它的機制是沒問題的。
順便說一下,「登錄設備管理」下面的那個「賬號保護」之前是沒有的,包括我今天試的另一台小米手機也沒有,應該是最近更新的。開啟後,在新設備上登錄需要驗證。那麼有人就要問了,沒有這項功能的是不是不需要驗證?我的經驗是也需要,因為之前我也經常在其他設備上登錄,只要是第一次都需要簡訊驗證碼,包括今天我未開啟那個的時候在電腦上登錄也需要,不然你看不到雲里的內容。
所以關於當事人說在電腦上登錄需要驗證碼,而在另一台手機上不需要,我猜測是不是因為這個功能的加入,導致了內部出現了邏輯bug。因為之前沒有此項功能的時候需要驗證,而加入新功能之後如果沒有開啟會不會導致不要驗證呢?
很多人吐槽說什麼簡訊內容,通話記錄這些幹嘛要同步到雲端,完全是因噎廢食,你不需要的東西大有人需要。並且這些功能是可以選擇開啟關閉的,你說老人不會關,你可以幫他們關啊。智能時代,連個雲服務都沒有還算什麼智能,況且現在所有的廠商都在構建自己的雲服務體系,大勢所趨,你說不要就不要?
還有一點,小米的雲同步對於簡訊驗證碼通知類簡訊有一項安全機制,就是你在雲端是看不到近幾天的內容。如圖,這些都是驗證碼通知簡訊。
況且僅靠驗證碼就能盜刷銀行卡嗎?騙子是如何得知你的銀行卡號及密碼的?當事人沒有詳細說明是通過什麼途徑刷走銀漢卡里的錢的,我們也不好猜測到底哪個地方才是導致被盜刷的關鍵,是小米的雲服務?銀行的機制?還是你個人平時的不注重隱私的習慣導致的?
就像有人說的,你這是同時丟了小米賬戶及密碼,銀行卡號及密碼,或者說是網銀/支付寶的登錄和支付密碼啊!導致損失的問題主要在哪方要靠小米、銀行、警方的聯合調查才行。但是啊,當事人的安全意識有很大問題這是很明顯的。自己的銀行卡被人拿去申請貸款,這犯罪分子得知道你多少隱私信息啊?身份證、銀行卡號、手機號、密碼。。。也許小米賬號被盜,驗證信息被犯罪分子用軟體攔截,成為壓死駱駝的最後一根稻草,但是在此之前你自己泄露了多少東西出去是最主要的。
說句實話,不管是國內還是國外,你相信有絕對安全的伺服器嗎?不可能的,任何網路系統,伺服器只要聯網,都是有漏洞的。不能指望別人代替你保護隱私,所以平時多注意是關鍵。不要隨便去什麼地方就輸對自己很重要的密碼,還有不要把所有的賬戶密碼都設成一樣的,碰到不正常的網站,要及時查看自己的賬號是否出現異常,經常改密碼是個好習慣。謝邀
昨晚臨睡前看到的,情感上表示很同情,理論上認為曹同學有一部分細節沒有公開出來,有選擇性披露和隱瞞的嫌疑,再加上當時的文章標題直指「小米」,所以也有些標題黨,不過出於尋求曝光的目的,我可以理解他。也出於安全提示的目的,昨晚在看到這篇文章就碼了下面這篇專欄,提醒目前所有使用小米、騰訊QQ、360產品、阿里產品的朋友們,務必安裝並開啟「安全中心/安全令牌」:
關於「小米手機雲服務」所需做的安全措施 - 小世界,小夢想,小歡樂 - 知乎專欄
- 務必把你的小米帳號提升為最高的安全級別,務必要使用並開啟「小米安全令牌」,這樣不論是什麼帳號,只要這個帳號登陸了,就必須使用令牌的密碼,否則無法登陸;
- 取消並關閉不必要或有安全隱患的「授權」或「綁定」,並在登陸設備時不要勾選「私人免登陸」類似的選項(類似於網站上的「記住密碼」);
- 當你的手機把安全級別設置為最高(100%)的時候,哪怕同個設備刷機了,也依然要通過手機來驗證許可,如果驗證不通過,那麼你的設備也是無法成功登陸小米帳號的。
但即便如此,也務必警惕使用各類手機的雲服務和雲盤,要定期修改你的密碼、定期修改及驗證密保、定期登陸雲服務和雲盤帳號的官方頁面檢查有無「異地登陸」或「設備綁定」的現象,如果有,務必及時採取鎖定措施並聯繫官方客服,必要時也可以進行報警處理。對於重要的數據文件,建議定期進行本地多盤備份(硬碟+移動存儲),硬碟有價,數據無價!
曹一聰知友所遭遇的,大概就是因為小米帳號被盜,然後犯罪分子通過這枚帳號進行其他設備的登陸,然後同步(下載)簡訊獲取相關銀行的驗證碼,從而實現了轉賬等操作。
但有三點是令我和其他一些知友十分困惑的:
- 如果僅僅是小米帳號被盜,是無法完成大面額轉賬操作的,但作者始終沒說帳號和密碼的是怎麼被泄密的,最關鍵這還不僅是小米帳號,很有可能是連同身份證、銀行卡、手機卡均被泄密;
- 錢被轉到哪兒了?是通過什麼方式被轉走的?是直接用網銀還是第三方支付?
- 昨晚討論最多的,就是為什麼被盜後,不法分子還可以「貸款」!?貸過的款朋友應該了解貸款流程吧?這他喵的不法分子可以這麼容易完成貸款操作?浦發銀行這貸款流程有點溜啊!
先說責任:
小米在此次環節中的責任在於帳號在登陸其他設備時沒有以最嚴格的方式進行身份二次校驗,理論上在這種更換設備的場景中,應該以最嚴格的校驗方式進行身份審核,這樣可以避免被心懷不軌的人鑽空子,從而實現社工盜號進行雲數據的下載(窺探及竊取)。目前我不確定小米方面有沒有修復這個校驗缺陷(沒條件測試),個人強烈建議使用小米雲服務的知友去小米官方安裝「小米安全令牌」,這是目前相對安全的解決措施,雖然使用起來有些麻煩,但安全性提高了不少。
浦發銀行在此次環節中也負有不可推卸的責任,帳號被盜後竟然還可以讓不法分子完成貸款操作,這絕對聞所未聞啊,這銀行的人是打雜的嗎?就算貸款的數額再小,難道也不驗證所有信息嗎?等等,不對,銀行的人難道連工作都不想要了?再說了銀行都有監控,罪犯會冒這個風險嗎?後來我想了想,有可能罪犯是通過線上完成貸款操作的,網銀也是可以貸款的,那麼到了這一環節,極有可能曹同學父母的許多信息都被罪犯掌握(身份證信息+銀行卡信息+手機號+小米帳號)。
那麼問題來了,手機號、身份證、銀行卡都是怎麼被泄密的?
沒有這些核心信息是無法完成轉賬和貸款操作的,而這也正是被害人不可推卸的責任。
走到這一步,可以看到小米雲服務承擔著所有環節中的最後一環,而這一環的前提是你的帳號沒有被盜,所以所有問題又繞了回來:帳號安全問題。
帳號被盜,要麼是弱密碼被社工了(生日/手機號),要麼是被人撞了小米曾經脫過的庫,要麼就是和曹同學父母有過線下關係,通過線下+線上的渠道以某種理由誘導得到過部分信息。
以目前的情況,如果是被脫褲+撞庫,那麼責任必然和小米脫不開干係,小米至少要承擔主要責任。如果是因為受害人自己疏忽,導致信息泄漏,講道理,這也怪不了誰,現在的社會有多少人是靠騙中老年發家致富的?太多了,夕陽產業都是他們前進的方向,什麼保健品、什麼電視購物、什麼簡訊欺詐。如果是曹同學父母周圍的人(同事或鄰居),那麼也不排除是通過路由攔截了他們的個人信息。
按照目前小米積極配合+警方出面的局面,我認為財產追回的可能性較大。但是相對於財產損失而言,通過這件事對那些互聯網安全意識淡薄的人們,應該是一次警惕和教訓,為什麼廠商讓你裝令牌,你卻視而不見?為什麼廠商讓你修改密保和密碼,你卻視而不見?為什麼許多專家都建議使用混合強密碼,你卻偏偏要用生日手機這樣的弱密碼?甚至一個弱密碼具備通用性,可以登陸多個網站終端。
安全意識這個問題,往難聽了說,中國十多億人,能有10%的人把安全意識做好,都挺稀罕了。
另外,那篇文章底下有人評論說我幹嘛不推薦別的手機(非小米的手機),很簡單的道理,對於安全意識差的人,你就是給他換iPhone換黑莓又能怎麼樣?沒用的,如果你真的認為換個手機就能徹底解決安全問題,那麼恕我直言,在當今互聯網的世界,哪來的「絕對安全」可言?如果你缺乏足夠的安全意識,那麼小兒科的社工手段依然能盜走你的個人信息和錢財。
把「安全」全部寄託於某個廠家或某個設備,是典型的偷懶行為。只有提高安全意識,具備一定的防範措施(多個不同的強密碼+安全的路由措施),養成線下勤備份線上勤查詢的習慣,才是重中之重。
PS:
本文對於用過MIUI以及小米雲服務的用戶來說,可能更容易理解這次事件以及它背後的邏輯。其次為了確保一定的嚴謹性,以上關於小米帳號令牌的安全問題,昨晚我均做過測試,可以相對有效防止其他設備登陸。文中和答案里提到的所有「安全令牌/安全中心」都是可以在廠商官網免費下載安裝的,真的不收費... 咋還有人私信問我安裝這個要不要錢... 我都醉了。
利益相關:小米用戶,米黑,ipad用戶
這次被盜,用戶和銀行的責任最大,小米的責任只夠打醬油。
用小米賬號登陸手機沒有額外的身份校驗確實會造成問題。 但ios登錄手機也只需要1步驗證,android原版也是一樣,實際上絕大多數網站和服務在新設備上激活都只需要一步身份驗證,銀行ATM都只需要輸入密碼呢。用戶怪小米默認開啟簡訊同步是可以的,但是要小米為密碼全丟的用戶做額外防護有些過分,為什麼你不去要求銀行在大額資金變動時仔細校驗身份?明顯就是因為小米在網上很活躍更好欺負嘛。
作者故意發專欄而不直接提問,大概是等小米公司聯繫他出錢刪文吧,有些雞賊。而且按照小米一貫的邏輯這個錢他們是不出的,因為小米很擅長借負面新聞炒作。
另外以前有個問題叫做如何看待小米論壇被拖庫? - 匿名用戶的回答
其中有個回答稱拖庫事件中36%的用戶都是小米水軍(官方IP註冊=水軍?,雖然我也沒搞明白什麼是官方IP)
這麼多水軍如果強製做身份驗證想必也是挺難搞的。
事實真相逐漸浮出水面
不友善用戶,就別怪我咯
我們來刪除各種傾向性,帶有感情色彩的描述,把這事理理
1.該用戶的小米帳戶,被他人登陸到其他小米設備
2.小米通過下發簡訊,通知用戶該帳戶在其他小米設備登陸
3.同時,被他人登陸的設備,開始同步小米賬號內所有信息
4.該用戶銀行卡被提款
5.該用戶被貸款
通過1可知,該用戶小米賬號,和密碼被他人知曉
通過2可知,小米第一時間發現登陸行為,並告知用戶(補充,通知簡訊大意為:該賬戶在其他設備登陸,會同步手機聯繫人、相冊等內容,如非本人操作,請XXOO)
通過3可知,該用戶沒有做什麼
通過4可知,該用戶泄露的信息應該還包括他的銀行卡卡號
通過5可知,該用戶泄露的信息應該還包括他的個人信息,例如身份證正反照,對應銀行卡持有者照片
然而在那位用戶的文章中,我們只看見了他說小米安全機制有問題。。。恩,對。。。
還有說小米2012年被脫褲了,小米沒有保管好用戶的賬號密碼。。。
MIUI論壇和xiaomi在當年爆出脫褲之後,就強制用戶修改過密碼,而且提醒了,為了數據安全,請使用獨一無二的密碼。。。
2012年之後,沒有公開資料顯示小米被拖過庫
似乎在那位用戶後序更新的內容來看,他父母小米賬號的密碼,出現在社工庫當中。。。
這就兩個問題了,如果是2012之前註冊的小米,當年被脫褲泄露出去的,後序小米要求修改過密碼,如果是2012年之後註冊的小米賬號,目前來看小米沒有再被拖過庫。
密碼為何還是泄露了呢?一般的社工庫應該可以看見泄漏源。。。然而該用戶並未提及
所以,我的看法就是,該文作者貌似有意無意隱藏了不少對自己不利的信息。。。
從結果來看,這鍋要背,是有先後順序的:
泄露個人身份信息&>&>泄露銀行卡信息&>泄露銀行卡驗證簡訊=泄露小米賬號密碼
再順著往下說
小米開起登陸二次驗證好不好?
肯定好,無腦好,因為人家蘋果就這樣的啊。。。
厄。。。邏輯不通吧
搞個大新聞,小米賠錢
綜上,還是小米好欺負點,233
--------------------
又更新了
這幾個裡面不就是小米最積極嗎?也說了要對用戶進行補償,但是整篇文章還不是針對小米,其他都一筆帶過。
要小米公開承認自己錯誤,你那麼牛咋不讓銀行承認錯誤呢?咋不讓警察承認不作為呢?
特么我去銀行打個流水本人去有卡沒身份證不行,別人去有卡有身份證不是本人不行,取個錢大於5萬還要預約,這貸款卻是說貸就貸。
我要是小米我都賠你錢了,我把bug也修了,你還非要我公開說我之前有bug,哈哈哈哈哈,那我這錢不白花了啊。
不得不說這個事情小米肯定有錯,賠錢也該,捏小米這個軟柿子也沒錯。很好啊。
過去這麼多年,每年都少不了各種電信詐騙,網路盜號偷錢的新聞和討論。
印象里,以前不是各種銀行和相關部門之間來回踢皮球,就是大家嘲諷那些被低劣的電信詐騙騙到的智商……最善意的,也不過是大家多介紹幾個奇葩案例,提醒大家,特別是我們的父母注意千萬自己要小心,不要上當被騙錢。
現在有了小米,大家終於可以不用再費力去罵那些根本不會回應你的銀行了。
而且,現在有了小米,用戶受了損失可以得到賠償這事兒終於變得可以預期了。
而且,現在有了小米,用戶丟賬號,泄露密碼,網路銀行有安全驗證漏洞,信用貸款有問題……等等等等所有問題都可以讓小米背鍋了!
這是多麼開心的事兒啊!!!
大家一起上,把小米罵死,以後中國就安全了,沒有詐騙,沒有偷到,沒有傷害,連女孩子來大姨媽都不會肚子疼了呢!小米當然有一定責任,這個是跑不掉的。
但是那篇文章對小米的問題大談特談,卻對其他可能造成密碼泄露的問題避重就輕,導致評論區里一群無腦黑小米所有產品的…
更新一下,題主有了新進展,但是我也有一些疑問,題主說明罪犯通過某種方法獲得了小米下發的手機驗證碼,那這種方法一定不是通過小米雲服務,這時候他還沒登錄小米賬號呢,那麼既然罪犯擁有這種獲取簡訊驗證碼的能力,又何必再使用撞庫攻擊去獲取簡訊驗證碼?這不是多此一舉嗎?完全可以修改小米賬號密碼自己登錄,然後通過這種獲取簡訊驗證碼的方式來獲取銀行下發的簡訊驗證碼,為什麼要通過小米雲服務這個方法?
以下是原回答:
。。。。。。。。。。。分割線。。。。。。
這個問題我也很關注,暫時題主刪了貼,還好我機智留了截圖
表面上看題主意思確實是小米簡訊的原因,但是深思一下你會發現這其中有更深的原因。
1.小米帳號和密碼如何泄露的,要登錄小米帳號,帳號和密碼必須匹配成功,帳號和密碼到底怎麼被犯罪分子知曉的?有人提過小米曾經泄露過帳號密碼,這個事情我不知道,所以不加以評論,就算是真的,那麼其他的怎麼解釋?
2.簡訊上顯示錢是通過網銀轉走的,那麼網銀是怎麼登錄上去的?如果是通過支付寶小米錢包,簡訊顯示會是快捷支付,而不是網銀支付。那麼登錄網銀必然要知道銀行卡,以及取款密碼,這些東西又是怎麼跑到犯罪分子手裡的?別告訴我題主母親把這些寫在簡訊里過。
3.支付密碼又是怎麼跑掉的?在驗證簡訊發送之前,必須填寫正確的支付密碼,無論是支付寶還是小米錢包,都是這樣的,即便存錢在餘額里開通便捷支付,但是開通的時候也是需要支付密碼的,小米錢包換手機登錄帳號開通免驗證付賬之前也是要驗證支付密碼的。
這些東西是很關鍵的,而不單單是說什麼小米同步缺陷導致銀行卡被刷,銀行卡被刷首先得有銀行卡的相關密碼,說直白點,要發簡訊之前就得知道支付密碼。
綜上,熟人作案的可能性最大。
。。。。。。。。分割線。。。。。。。。。
有一個細節,題主的截圖應該是平常截圖,也就是說手機使用情景和他母親平時使用差不多,我看到他的網路連接是用的數據流量網路,不是WIFI,而小米同步默認下是不會在數據流量網路同步的啊,疑問
。。。。。。。。。分割線。。。。。。。。
以下有回答說攔截木馬的,那麼銀行貸款怎麼通過的?就算通過網銀申請,身份證正反照片怎麼會一起泄露?
刪+關評(順路刪了一個長期不活動三0用戶+XX狗一隻)
朋友說沒有受到什麼壓力,公司也沒怎麼著,就是大家私下都在談論這事,而且順著這事開始說公司文化的事。。。
感覺不好,所以要求刪了。。。
-----------------------------------------------------------分割線-----------------------------------------------------------
人在做,天在看
別以為真相在時間洗盡鉛華之後,就會自動浮現出來
不可能!
不!!!
可!!
能!
這話不僅對這位損失十萬元的用戶說的,也是對小米公司說的。。。
唯一算是比較認同的,倒是那句:公道自在人心。。。
現在這事也算鬧得八九不離十了,用戶,銀行,小米,怎麼劃分責任,大家其實都有個譜了
在這,我建議那位用戶,既然警察不立案,銀行不受理,只有一個小米傻傻的陪你調查
那你就去起訴,陽光底下無新事,凡事曬出來大家看看,不就對了?
-----------------------------------------------------------分割線-----------------------------------------------------------
補充一點內容:
知乎有不少小米員工存在,他們不是沒看見這個問題,也不是不想回答這個問題,而是不能。。。
私聊起來,有3個前同事表現出了:「這問題下,不是全在黑小米,很多人很理性,這已經很棒了」這種態度。。。
真是呵呵了,斗M屬性無疑答案區知友們好像很驚奇。
繞過簡訊驗證很新鮮嗎??
通往許可權的道路不止一條。
反對答案區所有不經過任何技術考量胡亂分析,猜測的答案。
我想說一下,不是只有雲同步能拿到簡訊驗證碼。
手段有很多,我來複現一下。
這裡就說可能性的一種,攔截馬,和雲服務無關的。
既然答案區各位都說小米雲服務的通知類簡訊會延時同步,那我個人猜測很可能是手機中了攔截馬。
利用釣魚攻擊獲得了一個賬號密碼,然後誘導用戶安裝攔截馬。過程就不多說了。
我沒有小米手機,這裡就看下小米商城。
全程瀏覽不需要驗證碼。
看看小米雲服務。
查看同步的簡訊時需要驗證碼。
然後這個時候,之前通過釣魚誘導植入的攔截馬就派上了用場。
這是攔截馬後台申請的許可權。觸發安裝後會自動隱藏。
(圖片來自瑞星:誘導用戶激活設備管理器防止卸載;Sevice的主要功能)
攔截馬向控制手機回傳部分簡訊時,為了防止手機中的安全軟體進行監控攔截,還會過濾和替換了敏感關鍵詞。
(圖片來自瑞星關於攔截馬的樣本分析)這時我的設備上已經收到了小米發送到被害者的簡訊。
然後雲服務,驗證一下驗證碼的有效性。
可以登陸。
簡訊可以看到了,為了保護隱私,全程打碼。
至於弄走銀行卡的錢,我不繼續了,到此為止。
給這個手機號發了一份提醒簡訊,提醒改密碼,並且教他刪除了攔截馬,給他道了歉。
過程中我沒有對此賬號做任何出格的舉動。
所以讀取簡訊的問題,也不一定是雲服務造成的。
那麼銀行卡的錢是怎麼弄走的。
受害者手機上是否有網銀APP?
受害者是是否曾經在中有木馬的電腦上操作過網銀?
可能性太多了,不一一列舉了。
這只是其中一種思路。
我說明一下,許多人覺得最後一步登陸雲服務查看簡訊是多此一舉。
第一,我登雲服務是為了驗證驗證碼有效性。
第二,雲服務內的簡訊可以看到以前的簡訊內容。
還有,曹一聰剛剛私信我了。
————————————————————————
我科普一下什麼是攔截馬。
(圖片來自freebuf)
關於安全方面的建議:
1.不要使用簡單的密碼。123456,名字拼音+生日(123)之類的.(網友提醒可以在原密碼後加上+1s)
2.不要N個網站用同一個密碼,防止撞庫。
3.不要隨便在網上留QQ放真名甚至是你的身份證號。
4.不要隨便連接公共WiFi。
5.不要用安全性弱的郵箱(我沒有針對任何廠商)並且不要用該郵箱綁定支付寶或者蘋果ID。
6.家裡的WiFi管理後台賬號密碼不要設為默認,必要的話可以做一下MAC綁定。
7.分辨釣魚網站。
8.不要隨便掃二維碼。
9.不要隨便接收來歷不明的文件。
10.我個人不推薦小白的電腦不安裝安全防護軟體。
11.如果知道自己註冊的網站曝出安全問題,立馬去改密碼。
12.登陸開啟二次驗證。
13.淘寶購物訂單不建議填寫真名。
14.暫時不要使用小米同步了。
總之,小米肯定是負主要責任。但是主動解決問題的姿態還是很好的。
附上一篇文章,裡面有相關案例。
《個人信息泄露的危害到底離你有多遠?》
個人信息泄露的危害到底離你有多遠? - 安全大事件 - 知乎專欄
那哥們自己弄丟了家鑰匙,銀行沒看好防盜門,小偷用小米撬開了保險柜。
我就想知道到底被盜走了多少信息?
小米賬戶和密碼?
銀行賬戶和密碼?
身份證和手機卡?
…………
…………
說一下犯罪分子怎麼獲取簡訊驗證碼
收驗證碼的漏洞是移動聯通運營商那邊的,很多地方的當地運營商,有類似「簡訊備份箱」的業務,具體就是所有通過運營商發到手機號碼A上的簡訊都會發一份同樣的內容到號碼B上備份。
犯罪分子利用這個漏洞,破解@曹一聰 母親的手機號服務密碼後,給@曹一聰 母親的手機號碼辦理了這樣的業務,這樣的話犯罪分子掌握號碼B,而@曹一聰 母親掌握號碼A,在不影響號碼A使用的情況下,就能獲取到驗證簡訊內容了。而開通這個業務的提示簡訊大概就淹沒在茫茫垃圾簡訊中了。
順便,很多人的手機服務密碼都很好破解,因為買了號之後就再也沒有改過:)
這個,我之前把小米賬號借給我一福建的同學,因為答主外多看閱讀里買了很書嘛,我同學在福建登錄的時候,立馬我的手機就彈出提醒,小米雲服務是不是有漏洞,我不太清楚,畢竟快半年不用小米手機了, 但我用 覺得應該不至於會出現那麼大的問題
銀行四成責任 大額網銀轉賬竟然不要求網盾驗證,大漏洞
小米三成責任 簡訊同步存在隱患
事主三成責任 對賬戶密碼泄露有不可推卸的責任
推薦閱讀:
※為什麼miui的廣告在知乎上被黑得這麼慘?
※在更新和體驗了 MIUI 9 之後,你的感受如何?
※如何評價此次小米5的發布會?
※如何評價1299的小米凈水機?
※小米手機還有什麼優勢?