[[428517]]

最近，王思聰手撕了一把大眾點評，其手機號莫名其妙地遭他人修改，并質疑美團系統的安全。

隨后，大眾點評在微博下道歉并回復，已經第一時間內予以保護性凍結。

王思聰賬號的手機號，到底是怎么被修改的?是否還有其他用戶的手機號被修改過?

小王同學賬號手機被換綁，迅速沖上了熱搜，引起了諸多網友的猜測。

有人認為，小王同學賬號被換綁，可能有兩種情況。

第一種是利用釣魚手段，盜取王思聰的美團賬號密碼， 并劫持其手機短信。這種方式幾乎不可能實現。

第二種是偽造公共WiFi讓小王同學連接，發動中間人攻擊。當王思聰在公共場合，比如咖啡廳、餐廳使用公共WiFi，并使用美團時，攻擊者就可以輕松獲取其美團賬戶的操作權，并修改換綁手機號。

事實的真相如何呢?

真相讓人大跌眼鏡！不是小王同學自己換綁忘了，也不是黑客發動網絡攻擊，而是美團換綁手機流程中的一個漏洞。

換掉王思聰賬戶的手機號，操作過程相當簡單，甚至不需要任何工具。

在登錄賬號時，選擇登錄界面上的“手機號無法接收短信”選項，輸入曾經綁定過的手機號。

再輸入身份證上的8位生日日期，即可更換新的手機號碼，無需接收驗證碼，也無需進行人臉識別。

曾經綁定過的手機號加上生日日期，這一驗證過程本相當嚴謹，但對于公眾人物來說，略顯尷尬。

只要輸入曾經綁定的手機號，而不是目前綁定的手機號，如果小王同學換過多個手機號，只要有人知道其中一個，就可以順利進行下一步操作。

而下一步操作竟然是驗證生日日期……作為“國民老公”，生日日期隨便就能查到。

更換綁定手機后，就可以看到各種美團訂餐訂單、買藥、開放等信息，甚至家庭住址等信息也會被一覽無余。

目前，美團已經增設了限定條件，只有最近6個月修改過賬號綁定手機的用戶，才能使用上述的換綁步驟。

同時在登錄狀態下，更換手機號需要接收新手機的驗證碼。

網絡安全，就像是一條鎖鏈，鎖鏈的強度不取決于硬度最高的一環，而是取決于最弱的一環。如果整個鏈條都是鈦合金制成，只有其中一節是回形針，整體鏈條的強度便等于回形針的強度。

[[428521]]

正如小王同學所言：“美團是一家市值萬億的大公司。”一家巨頭企業，在網絡安全上的投入絕對不會少，技術水平也足以碾壓絕大多數企業。

但就是因為這一個漏洞的出現，對美團是一個不小的打擊。

某些平臺也存在美團一樣的問題，驗證賬號所有者時，只驗證手機號、身份證、回答安全問題。

對于陌生人來說，繞過這些驗證不太容易，但要是認識的、熟悉的人，手機號碼、身份證信息實在太容易獲取，特別是王思聰這樣的名人，在社交網絡上又這么活躍，獲取信息實在太容易了。

對于換綁、解綁手機這樣的場景，應該做到極致的安全，因為這種操作并非高頻操作，即便操作繁瑣，也不會太傷害用戶體驗，即便有傷害，也好過因為這一環節漏洞，讓整個安全體系崩潰。

就目前技術來說，解綁手機時，使用人臉識別技術或身份認證并不難。其實主要看平臺有沒有這個意識加強安全防范措施。

當然，我們也要具體情況具體分析，如果平臺較小，也不必采用太復雜的換綁流程。無論是網絡安全，還是業務安全，亦或是其他方面的安全，歸根到底還是成本的問題。