事件回顾——究竟哪里出问题了?
8月21日晚,一篇《小米短信同步缺陷让父母银行卡被盗十万元》的知乎文章引起关注,整个事件简单来说就是:
事主父母的浦发银行卡被盗刷10万(含贷款4万),检查下来发现是被人攻破了小米云的密码,事主父母此前开启了小米云的“短信同步”服务,导致银行的验证短信被截获。
“妈妈的手机是小米5,早上手机收到了小米'新增云同步设备'的通知提醒,二十分钟后陆续收到银行发送的多条短信验证码、多条转账成功还有贷款成功的通知,时间间隔非常短。”事主知乎这样写道。
小米“新增云同步设备”的通知提醒截图如下:
(来自事主的知乎,现原文已被暂时清除)
事件疑点:
1、银行卡和密码怎么丢的没有说清楚。
2、银行为什么给办理了贷款?
3、手机是否中了木马未知。
另外,事主在知乎原文中记录:“在犯罪分子用浏览器尝试登陆小米云服务、并打开短信同步权限时,下发过手机验证码”但是事主并不知情,”在小米手机5上也看不到这条验证短信,期间SIM卡完全正常运行。”小米的说法是,接受这条验证码的设备是小米3,推测可能是SIM复制卡,但是如果是复制卡,是可以直接收到银行验证短信,那么就无需再通过小米云服务同步短信来操作了。
(截图来自事主知乎最后更新)
关于这个说法,雷锋网也咨询了资深安全人士,他表示两边的逻辑都不完全通——
“首先确实事主说的对,如果手机卡已经被复制,那么就无须再通过小米云获取银行的短信验证码。但是事主所说的关于复制卡就会导致原卡失效也是错误的,只有补卡或者换卡的时候会导致原卡失效,复制卡如果成功两张卡是可以同时使用的。”
也就是说,在成功的情况下,复制卡是可以同时使用的。
这并不是小米第一次因为短信验证缺陷带来的盗刷事件。
上个月,山西的王先生因为小米账号被盗,利用小米云服务的短信同步收获其短信验证码,并将事主本人手机里的短信自动删除,盗刷其银行存款。
而与此类似的是,运营商的“短信托管”服务也曾被诟病,就是因为不法分子会利用非法手段获取客户的相关信息和密码,再利用客户信息开通了客户手机的“短信保管箱”业务,从而获取交易验证短信并盗取资金。
运营商一方面推出了短信密码验证服务,另外并没有对短信的安全性进行升级,包括移动的短信托管服务。另一方面,其他部门还是把短信当做是通信服务来看待,认知偏差导致了使用场景和设计场景的偏差。银行会觉得,你运营商既然开通了短信验证密码服务,你就得保护用户短信的安全。
除了以上方法,手机木马、伪基站、钓鱼Wi-Fi都可以被利用从而获得短信验证码,进而盗刷银行存款。
那么,银行方面为什么不用令牌?除了成本,就是市场对便捷性的追求。
“为什么要大力推手机银行,因为成本,还有创新业务和增值服务。小米为什么要搞云,因为提高用户粘度,提供长尾增值服务,说不定还可以通过分析短信内容去挖掘用户习惯。那么安全在哪里呢?安全在业务推广和成本压力下被忽视了,用户就被赤裸裸地挂在黑暗森林里。”资深安全人士这样告诉雷锋网。
从事主的账号被盗、云服务同步短信到最后发生银行卡盗刷行为,这个过程中涉及:手机厂商、运营商和银行。
客观来看,这件事光打小米是不合理的。
首先小米的云同步不是默认设置的,一般用户会使用默认设置,如果修改默认设置就意味着后果自负。
如图:
其次,法律中的直接后果原则,即有限责任原则:小米提供云服务,只承担云服务的责任,银行提供金融服务就承担金融服务的责任。举个简单的例子,比如你用短信发的商业机密被泄露了,运营商只需要承担泄露隐私的责任,而不是赔你合同,承担泄密的后果。
这样的说法对大多数用户来说,显得过于冰冷。在这件事情中,小米的责任是肯定有的,比如云服务商应该对存放在云端的数据有所选择,比如涉及照片等用户隐私、银行信息等敏感数据提醒用户或者默认不同步,并且进行二次验证。
而从用户角度,银行卡和密码又是怎么泄露的?可能的情况实在太多了:
是不是家里的网络有问题?
之前是否在不安全的地方用过网银?
小米云备份的短信信息泄露了银行卡和密码?(有人会在短信上保存银行卡密码等信息)
......
这个事件其中一个疑点就是贷款问题,如果贷款真的办下来了,要不就是银行规则有漏洞,要不就是银行内部人员操作。因为线上办贷款,这种事情,即使是浦发银行也做不出来的。
追究到最后,整个事件的核心问题还是在于银行的风险管控,毕竟银行是短信验证的最终得益者。
银行应该细分场景然后进行风险控制,比如手机支付在2万元以下,或者可疑的支付行为有电话进行调查。
今天上午,小米方面已经积极配合,事主也将内容暂时清空,而事件疑点也有待进一步解开。截止雷锋网发稿为止,事主的知乎内容如下:
关于这个事件背后的责任问题,雷锋网邀请了启明星辰副总裁shotgun做深度分析,可关注雷锋网后续出文。
雷锋网注:转载请联系授权,并保留出处和作者,不得删减内容。