關於「小米手機雲服務」所需做的安全措施
曹一聰知友所遭遇的,大概就是因為小米帳號被盜,然後犯罪分子通過這枚帳號進行其他設備的登陸,然後同步(下載)簡訊獲取相關銀行的驗證碼,從而實現了轉賬操作。
之所以寫這篇文字,是因為我也是小米雲服務的用戶,藉此給所有使用小米雲服務的提個醒:
- 務必把你的小米帳號提升為最高的安全級別,務必要使用並開啟「小米安全令牌」,這樣不論是什麼帳號,只要這個帳號登陸了,就必須使用令牌的密碼,否則無法登陸;
- 取消並關閉不必要或有安全隱患的「授權」或「綁定」,並在登陸設備時不要勾選「私人免登陸」類似的選項(類似於網站上的「記住密碼」);
- 當你的手機把安全級別設置為最高(100%)的時候,哪怕同個設備刷機了,也依然要通過手機來驗證許可,如果驗證不通過,那麼你的設備也是無法成功登陸小米帳號的。
但即便如此,也務必警惕使用各類手機的雲服務和雲盤,要定期修改你的密碼、定期修改及驗證密保、定期登陸雲服務和雲盤帳號的官方頁面檢查有無「異地登陸」或「設備綁定」的現象,如果有,務必及時採取鎖定措施並聯繫官方客服,必要時也可以進行報警處理。對於重要的數據文件,建議定期進行本地多盤備份(硬碟+移動存儲),硬碟有價,數據無價!
像曹一聰知友的問題,很可能是他父母的銀行信息、身份信息、小米帳號均被盜取,又碰巧小米雲服務有技術性的驗證缺陷,所以上述因素直接導致被心懷不軌的人鑽了空子。關於小米的雲服務驗證不嚴的缺陷,這裡還得@雷軍老師,這個Bug的性質還是蠻嚴重的,根本不需要什麼技術,跟當年Windows用智能ABC彈出輸入法幫助文檔跳過登陸驗證是一個道理。
我的建議:
目前可以從「信息如何被泄漏」這個切入口給浦發銀行和警方施壓,否則即便不法分子攔截了你父母的簡訊,也沒法執行轉賬操作,所以這個人是怎麼得到如此多的信息,非常值得懷疑。是否是銀行工作人員借口拿你了父母的手機?問了他們密碼?然後進行社工撞庫?都不好說。
上面我強烈推薦使用小米雲服務的朋友裝「小米安全令牌」,另外還推薦常上QQ的朋友們安裝鵝廠的「QQ安全中心」,常用360的朋友們安裝「360帳號衛士」,其他大公司的軟體都會有類似的「安全令牌或安全中心」,個人建議老老實實安裝,老老實實把自己的帳號安全等級提升到最大級別,我知道高手們都喜歡裸奔,但高手們的父母和女朋友裸奔就會很悲劇。
此外,有知友說我為什麼不順便推薦小米之外的手機?
恕我直言,在當今互聯網的世界,哪來的「絕對安全」可言?你換了iPhone或其他手機又能怎樣?如果你缺乏足夠的安全意識,那麼小兒科的社工依然能盜走你的個人信息甚至是錢財。把「安全」寄託於某個廠家或某個設備,是典型的偷懶行為。只有提高安全意識,具備一定的防範措施,養成本地勤備份勤查詢的好習慣,才是重中之重。
良心建議,希望能幫到各位,安全問題,不容小視。
PS:為了確保文章的嚴謹性,剛才用備用手機登陸,提示必須要口令,之後又用同設備退出後重新登陸,提示仍然需要口令,怎麼說呢,我認為如果裝上小米安全令牌,並將安全措施提升到最高級,那麼這個風險是可以規避的。
-
截止目前,作者專欄提示小米方面在積極配合併協助警方調查,希望曹一聰可以追回損失。
關於我對這件事的看法:https://www.zhihu.com/question/49872008/answer/118224051
推薦閱讀: