手机绑定功能存隐患 遗失或致连环信息泄露

遗失手机后，不少人烦恼的，也许只是失去了一部通话工具和里面的通讯录，鲜有人想到，你随之失去的，很可能还有当当、人人、微博、网易邮箱、支付宝、财付通……等等一系列网站的账号和密码。7月27日，本报曾报道以手机号码注册的财付通、支付宝账户，可以通过手机轻易修改密码。本周《IT时报》记者继续跟踪调查发现，除了第三方支付，还有不少网站账户都提供手机绑定功能，且对找回、修改密码并没设置太多门槛，一旦用户遗失手机，便很可能因此泄露信息。

微博、人人：编辑短信就可重置密码

时下热门的微博、社交网站、邮箱包含着诸多个人信息，手机号码能打开它们的大门吗？

在微博登录页面中，输入手机号码，并点击“忘记密码”，根据提示操作后，手机上便收到一条验证码，只要在网页上输入验证码就可以重新设置密码。腾讯微博也是如此，只需用“密保手机”发送新的密码到指定的号码，便会收到一条密码修改完成的短信，而密保手机往往就是登录用的手机号码。

在一些社交网站，找回密码的过程也颇为相似。如人人网，同样只需用“密保手机”编辑指定的短信发送到指定的地址就可以了。

一些电子邮箱同样也存在风险。比如网易的126邮箱，如果和手机号码绑定过，既可用户名登录，也可直接用手机号码登录，同样选择“忘记密码”，网易会向手机发送验证码进行密码重置，然后便可以任意修改密码了，而密码更改后，手机并不会收到任何提示信息。

网易客服表示，手机号码的确是能解开邮箱的密码，他建议用户最好设置多重密保，例如密保邮箱、密保卡等，来加强密码保护。

当当网：客服透露用户信息

《IT时报》记者在各个网站逐一尝试的过程中发现，虽然有的账户信息仅通过自己操作并不能解决问题，而要寻求客服的帮助，但很多客服对用户信息的审核也只是走过场。

在当当网上，如果忘记密码，需要输入注册时的EMAIL地址。记者致电当当网客服，表示已经忘记了登录时的邮箱。该客服询问了记者绑定的手机号码和姓氏后，就直接告诉了记者EMAIL邮箱，甚至把记者在注册当当时填的地址也一并报了出来。知道邮箱后，点击“忘记密码”，当当会向该邮箱发送密码重置的邮件，通过邮件，可以重新设置密码。而根据前文所言，如果用户邮箱恰巧是126等可以用手机解开的邮箱，当当账户丢失的风险依然存在。

QQ、MSN：手机号码不能破解信息

难道所有与手机绑定的网站都存在如此风险吗？

QQ作为最常用的聊天工具，也有不少用户把QQ号码和手机绑定，QQ号被盗走的可能性有多大？记者进行了尝试。在QQ安全中心的网页里，记者根据提示输入了绑定的手机号码和页面上的验证码，通过密保手机发送短信同样可以找回密码，但在最终提示信息中，QQ号码只显示了首末位数字。也就是说，即使有人拿到你的手机，修改了密码，却仍然会因为不知道QQ号码而无法登录。QQ客服向记者证实，仅凭手机号码的确找不到到QQ号码，想要找到号码，必须通过申诉，提供该QQ的一些使用信息等。

记者用同样的方法试着找回MSN的用户名和密码，也没有成功。

当然，也有与手机号码完全无关的网站，比如雅虎邮箱，只能通过回答密保问题，或发邮件到关联邮箱进行密码重设，和手机号码无关。

专家说法

企业应尽量杜绝管理漏洞

上海信息安全行业协会秘书长王强告诉记者，不少网站在安全技术手段方面还是比较注重的，但考虑到用户对方便的需求，往往会在快捷和方便之间做一些取舍。“这是不少企业一直碰到的难题，太复杂，没有用户愿意使用，而不安全，则会带来很多后续的问题。”

支付宝相关工作人员则向记者表示，支付宝开发产品的原则，是在安全的基础上尽量便捷，目前一些用户碰到的安全问题，可能是因为用户自己的使用习惯而造成，所谓的“漏洞”也要针对实际的案例才能知道究竟是什么原因。

但王强认为，企业除了加强技术保障以及用户自己要重视自我保护外，在管理上应该有不少工作可以做，“人工服务理应对用户进行最基本审核。但像当当网的客服，仅报出一个手机号码就告诉了用户想要询问的信息，甚至连没询问的信息也透露了，这就是管理漏洞，是不应该出现的。”

记者手记

安全模式没有快捷键

快捷，我所欲也，安全，亦我所欲也。

如今不少账户都“联姻”了，用多种方式都能登录，比如微博，可以用邮箱、手机号、MSN等登录，因此，只要一个信息泄露，或许会牵扯到多个账户的安危。这就像一个连环套，一旦其中一环出现问题，会波及其它。在方便的同时，这样的联姻带来了更多的担忧和风险，甚至还可能带来财产损失。

其实，对于用户来说，安全与便捷的选择题从来很好做，一定是安全最重要，尤其是一些与经济利益相关的账户。而企业往往为了争夺用户，尽量缩短用户在注册时的“犹豫期”，而提供越来越便捷的方式，这样，它可以向投资人说：我的用户数是千万级、甚至亿级的。当然，这没有错，但最好问问自己，有没有在寻找更快捷方式的同时，花费更多的精力在确保安全上？

验证的时候，多填一个邮箱地址，用户多不了几秒钟时间；客服审核的时候，多回答一个问题，会让用户觉得更安心。为了安全，这些付出还是值得的，不用任何快捷键。

来源：IT时报

　　版权及免责声明：凡本网所属版权作品，转载时须获得授权并注明来源“中国产业经济信息网”，违者本网将保留追究其相关法律责任的权力。凡转载文章，不代表本网观点和立场。版权事宜请联系：010-65363056。

延伸阅读