四度空间

专注.NET SharePoint

腾讯微信惊天漏洞,利用手机号致帐号丢失无法找回!——论个人信息安全与防护

郑重声明:本文所述内容只用于学习交流,请勿用于任何违法用途。也请大家提高警惕,尽早提高自己的安全等级,避免悲剧的发生。本文只描述客观事实,不对发生的任何主观恶意攻击所造成的损失负责。

本文禁止转载

博客地址 http://blog.csdn.net/foxdave

本文写于今日下午2点多,没有立即发是因为本屌向乌云先反馈了一下(本屌一直觉得乌云非常牛逼,很希望能有一个账户,无奈本屌太水),但是却没有通过审核,可能本屌的表达能力有限。。。所以我就直接发出来了。


==================================================================================================

首先好吧,本屌承认有些标题党了。。。而且这个问题绝对不是本屌第一个发现的,只是亲身经历之后想要记录一下。


背景

本屌先把事情的背景描述一下:

去年的时候新买了个手机号,看着微商什么的最近挺火,但是用自己的微信发来发去的觉得很不好,遂决定用这个手机号注册个微信以备用,万一我业余的时候也走上这条路了呢。


问题导火索

打开微信,用手机号进行注册,接收验证码填写完毕之后,提示此手机号已被绑定,选择“否,继续注册”就无法进行下去了。

于是本屌致电微信客服,客服说需要提交截图证明手机的入网时间(当写到这里的时候想到这里也很不严谨,只这一个截图的话,如果某个人的手机号的服务密码泄漏了,那一样是危险的。)。但是在电脑上登录网站之后,用户那里显示的是姓名并不是手机号,虽能查看入网时间,但是客服坚持截图不能用作证明并且不愿意为本屌等待过多时间,与客服沟通多次,尝试多部分截图、缴费记录截图等,未遂,就是不给解绑,虽然他也是按规定办事,但实在是太死性。(正好这里吐槽下腾讯的客服,微信客服还好了,在线的腾讯客服简直就是渣!


发现Bug

本屌的小暴脾气,既然客服不给操作,那就自己尝试看看,没想到还真把微信号拿下了。具体尝试过程不表,以下只描述具体核心操作步骤。

密码忘了,只有手机号,没有对方的微信号等其他任何信息,但我就是硬生生地登录了对方的微信。

过程比较简单我就不废话了,直接看图吧!

看到了没有?!接收了验证码之后直接修改密码就登录了好吗?!那之前本屌等了20分钟挤进微信热线最后被告知无法解绑的意义何在?!如果想帮本屌的手机号解绑,买个黑卡替换掉就行了,当然本屌没有这么做,因为后来在手机APP上找到了号码的相关图片证明,遂又致电微信热线解除了绑定。而这个微信号呢?什么都没有了,完全掌握在本屌的手中,就跟死号一样,本屌已经联系了微信的主人取回微信。


安全总结

本屌的手机号是运营商二次发号购买的,不废话;

微信对于这个问题怎么看,是否修改它的逻辑,也不是你我能说了算的,不废话;

最重要的就是我们每个人从自己做起了(很大一部分安全问题都是由于个人的疏忽导致的):

1. 保管好自己的手机和手机号,不要将验证码发给任何人。

2. 查看自己的微信号、支付宝帐号(支付宝也看一下吧,万一也这样呢),甚至包括你的银行卡帐号上面捆绑的手机好是不是自己的,不是自己的马上更换。

3. 不要将你的个人信息轻易地暴露给任何人,虽然很可能你的个人信息已经很容易在网上搜到了。

如果有遗漏欢迎补充,留言即可,本屌会一一回复。

==================================================================================================

郑重声明:本文所述内容只用于学习交流,请勿用于任何违法用途。也请大家提高警惕,尽早提高自己的安全等级,避免悲剧的发生。本文只描述客观事实,不对发生的任何主观恶意攻击所造成的损失负责。

本文禁止转载

阅读更多
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/FoxDave/article/details/44017259
个人分类: 随笔
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭