当前位置: 网站首页 > 新闻中心
新闻中心
小米短信同步让父母银行卡被盗10万?扒一扒事情的来龙去脉
时间:2019-12-27  来源:www.oaled.com

事件回顾 - 出了什么问题?

8月21日晚,一篇关于《小米短信同步缺陷让父母银行卡被盗十万元》的文章引起了人们的注意,整个事件只是:

受害人父母的浦东发展银行卡被盗10万(包括40,000笔贷款)。检查后,发现小米云的密码被破坏了。父母的父母此前已经开通了小米的“短信同步”服务,这导致了银行的验证短信。截获。

“妈妈的手机是小米5.早上,手机收到了小米'添加云同步设备'的通知提示.20分钟后,它收到了银行发送的多个短信验证码,多次转移成功并通知成功贷款。时间间隔很短。“受害者知道这一点。

小米的“添加云同步设备”通知的屏幕截图如下:

(根据受害者的知识,原文已暂时清除)

事故要点:

1.如何丢失银行卡和密码不明确。

2.为什么银行处理贷款?

3.手机是否属于特洛伊木马是未知的。

此外,受害人在原文中记录:“当犯罪分子试图用浏览器登录小米云服务并打开短信同步权限时,手机验证码已经发出,但受害人不知道,”也在小米手机5.我看不到这个验证短信,而且SIM卡运行正常。“小米说接受此验证码的设备是小米3,可能是SIM卡复制卡,但如果是一张复印卡,可以直接收到。银行验证SMS,因此无需通过小米云服务同步SMS。

(截图来自受害者并知道上次更新)

关于这一说法,雷锋还咨询了高级保安人员,他说双方的逻辑并没有完全连接 -

“首先,有人说,如果手机卡被复制了,那么就没有必要通过小米云获得银行的短信验证码了。但受害人说,复制卡会导致原卡到无效也是错误的,只有更换卡。或者当卡更换时,原卡将无效。如果卡被成功复制,两张卡可以同时使用。“

换句话说,在成功的情况下,可以同时使用复制卡。

短信验证中的缺陷

这不是小米第一次参与由SMS验证缺陷引起的欺诈事件。

上个月,由于小米的账号,山西王先生被盗。他利用小米云的短信同步收集他的短信验证码,并自动删除手机中的短信,并偷走了他的银行存款。

同样,运营商的“邮件托管”服务也受到批评,因为犯罪分子将使用非法手段获取客户的相关信息和密码,然后使用客户信息打开客户手机的“智能盒”。业务,从而获得交易验证短信和窃取资金。

一方面,运营商推出了短信密码验证服务,并没有升级短信的安全性,包括移动短信托管服务。另一方面,其他部门仍然将SMS视为通信服务,并且认知偏差导致使用场景和设计场景之间的偏差。银行会觉得,由于您的运营商已经开通了SMS验证密码服务,您必须保护用户短信的安全性。

除了上述方法之外,还可以利用移动电话木马,伪基站和钓鱼Wi-Fi来获取SMS验证码,从而窃取银行存款。

那么为什么不在银行方面使用令牌呢?除了成本,它是市场对便利性的追求。

“由于成本,以及创新业务和增值服务,我们为什么要非常努力地推动移动银行业务。小米为什么要搞云,因为它增加了用户粘度,提供了长尾增值服务,也许还可以通过分析短信内容来分析用户习惯。安全性在哪里?在商业推广和成本压力下,安全被忽视,用户在黑暗的森林里赤身裸体。“高级安全人员告诉雷锋。

不仅仅是小米的责任

从事主帐户的帐户,云服务同步短信到最后一张银行卡被盗,这个过程涉及:手机厂商,运营商和银行。

客观地说,在这件事上扮演小米是不合理的。

首先,默认情况下不设置小米的云同步。普通用户将使用默认设置。如果您修改默认设置,则风险自负。

图:

其次,法律直接后果的原则,即有限责任原则:小米提供云服务,只承担云服务的责任,银行提供金融服务承担财务责任。举一个简单的例子,如果您通过短信发送的商业机密被泄露,运营商只需要承担泄露隐私的责任,而不是为您的合同付款并承担泄漏的后果。

对于大多数用户来说,这个陈述太冷了。在这件事上,小米的责任是肯定的。例如,云服务提供商应该选择存储在云中的数据,例如用户隐私,例如照片,银行信息等,以提醒用户或默认不同步,以及二次验证。

从用户的角度来看,银行卡和密码是如何泄露的?可能的情况太多了:

家庭网络有问题吗?

您以前在不安全的地方使用网上银行吗?

小米云备份短信泄露了银行卡和密码? (有人会在短信上保存银行卡密码和其他信息)

.

在这种情况下,其中一个疑问是贷款问题。如果实际贷款,银行规则有缺陷或银行内部人员操作。因为网上贷款,这样的东西,连浦东发展银行都做不到。

最后,整个事件的核心问题是银行的风险控制,毕竟银行是短信验证的最终受益者。

银行应细分情景,然后控制风险,如移动支付不到2万元,或通过电话调查可疑支付行为。

今天上午,小米方面积极合作,业主也将暂时清空内容,对事件的疑虑需要进一步解决。雷锋出版结束时,主题内容如下:

关于这次事件背后的责任,雷锋邀请陈启兴副总裁霰弹枪做深入分析,可以关注雷锋的后续文章。