1
houzhenhong 2016-08-21 22:41:06 +08:00 via Android
雷军似乎也玩知乎,在知乎 @雷军
|
2
gotounix 2016-08-21 22:55:49 +08:00
手机从不用任何同步软件,不登陆手机厂商 ID ,就是怕碰到这个!
|
3
houzhenhong 2016-08-21 22:58:18 +08:00 via Android
|
4
Laynooor 2016-08-21 23:00:41 +08:00
看了楼主的文章,回想了一下,当初从小米 3 换到小米 4C 的时候,登陆小米账号确实没收到验证码……
翻了下短信记录,确实没有。 |
5
Lonely 2016-08-21 23:02:13 +08:00 via Android
@houzhenhong 雷军肯定不会认
|
6
kn007 2016-08-21 23:04:00 +08:00
表示早就把小米云服务 kill 掉了
|
7
houzhenhong 2016-08-21 23:07:16 +08:00 via Android
我似乎要自己盗自己的号了,因为长久不登录小米账号,现在已经记不得密码了,顺便问一下好的密码管理软件
|
8
243205964 2016-08-21 23:08:17 +08:00 via Android
这一切不都是从小米账号被盗开始的吗?
|
9
KevinChan 2016-08-21 23:32:52 +08:00 via iPhone
精选评论的问题应该回答一下
作者的小米账号密码如何泄漏?就算是泄漏银行卡又是如何被盗刷的?看完文章一直在思考这两个问题。 |
10
thought 2016-08-21 23:46:33 +08:00 1
小米真是背锅侠
|
12
9hills 2016-08-21 23:56:43 +08:00 via iPad
看了下描述,如果对短信验证码这样的高敏感信息的同步,没有做足够的安全防护,如二步验证等。
小米应该负责,这个不是怪密码泄漏的,密码总会泄漏,哪怕你再安全。 |
14
KevinChan 2016-08-22 00:04:01 +08:00 via iPhone
@9hills 银行卡号,身份信息应该是一并泄漏了
密码如果由于自身原因泄漏那就应该自己多反思了,不能说密码总会泄漏来搪塞,这样就和人终有一死是一个思路了 |
15
thought 2016-08-22 00:07:59 +08:00
小米的确有错, icloud 就不设置短信同步功能
但是这种不能怪社工库吧,因为第一次登录小米帐号要验证码的,所以说原 po 主老人手机肯定是被别人看过验证码 ps :上一条回复不严谨,但是不能删除。 |
16
BOOM 2016-08-22 00:09:37 +08:00
如果是父母的话就很好理解。
老人家,很容易泄露帐号密码,银行卡卡号,电话号码。 随便搞个钓鱼网站就能骗到小米帐号。 如果不出意外,我记得手机也能登录小米帐号? |
18
supman 2016-08-22 00:18:28 +08:00 via Android
小米觉得没啥大错。但是银行太操蛋了,另外可以送派出所个锦旗了,踢皮球。
|
19
KevinChan 2016-08-22 00:20:50 +08:00 via iPhone
@9hills 刚刚看了一下作者的回复,泄漏的帐号及密码是作者母亲的,如何泄漏未知。并且作者母亲的手机买来后可能就基本没有升级, miui 在最近的版本已经关闭了通知类短信同步,如果没有及时更新系统,那可能小米这个锅只能有限的背。
|
20
9hills 2016-08-22 00:24:31 +08:00 via iPad
|
21
nettest 2016-08-22 00:24:31 +08:00
前一段,网易邮箱密码泄露锁苹果手机的事大家还记得吗。。。
|
22
KevinChan 2016-08-22 00:29:33 +08:00 via iPhone
@9hills 巧了,家人用的 4c 。
款项是网银转出,而且之前貌似没收到银行验证码,也就是这笔钱是被人直接用网银密码转出的。那么这样推测,作者母亲的所有重要个人信息应该是全部泄漏了。 |
23
9hills 2016-08-22 00:33:54 +08:00 via iPad
|
24
9hills 2016-08-22 00:35:35 +08:00 via iPad
@KevinChan 随手一搜,以后还是先调查再发言吧
一、加强用户身份验证管理。各商业银行最迟于 2007 年 12 月 31 日前应对所有网上银行高风险账户操作统一使用双重身份认证。双重身份认证由基本身份认证和附加身份认证组成。基本身份认证是指网上银行用户知晓并使用,预先注册在银行的本人用户名及口令 /密码;附加身份认证是指网上银行用户持有、保管并使用可实现其他身份认证方式的信息(物理介质或电子设备等)。附加身份认证信息应不易被复制、修改和破解。 |
25
ipconfiger 2016-08-22 00:37:50 +08:00
让父母用小米产品本来就不负责啊! 要想父母不上当就得给他们用 iphone, 哪怕是你自己淘汰的机子呢
|
28
9hills 2016-08-22 00:42:04 +08:00 via iPad
|
30
9hills 2016-08-22 00:48:28 +08:00 via iPad
@KevinChan 呵呵,爱信不信。别的不说,快捷支付总开过吧,你可以自己数数开通快捷支付需要提供什么信息。
|
31
KevinChan 2016-08-22 00:54:23 +08:00 via iPhone
@9hills 骗子用网银转出,并且知道身份证号,银行卡号,网银密码,小米账号及密码,所以我推测是当事人的个人信息泄漏。小米只承担部分责任,银行也有责任,但更大的责任归属于当事人没有保护好个人信息,缺乏足够的安全意识,并且在知道账号有异常登录时,在随后的 8 分钟时间内,眼睁睁看着钱被转走。
|
32
9hills 2016-08-22 00:57:49 +08:00 via iPad
@KevinChan 网银密码可以通过短信重置
身份证号和银行卡号第一不敏感,第二在实名制的现在,通过手机号反查并不是非常困难的事情 小米账号支持手机号登录 所以基本上也就是泄漏了小米的账号密码,你告诉我这叫各种关键敏感信息? |
33
gdtv 2016-08-22 00:58:55 +08:00
|
35
9hills 2016-08-22 01:01:14 +08:00 via iPad
|
37
9hills 2016-08-22 01:04:08 +08:00 via iPad
|
39
Hucai 2016-08-22 01:43:20 +08:00
吓得赶紧把短信同步给关了
|
40
JasperWong 2016-08-22 01:45:54 +08:00
心疼楼主,有空回去赶紧看看父母的网上支付有没有可能出什么问题..
|
41
binux 2016-08-22 07:15:10 +08:00
小米短信同步即使有缺陷,也不是主要原因。
|
42
liyiecho 2016-08-22 07:26:41 +08:00
表示楼主并不是第一个受害者,之前就在贴吧看到过,现在被删贴了,只留下了快照 http://webcache.googleusercontent.com/search?q=cache:dufk_jYSxgQJ:tieba.baidu.com/p/4722890737+&cd=1&hl=zh-CN&ct=clnk&gl=us
|
43
irainsoft 2016-08-22 07:29:04 +08:00
一直认为公安机关要对网络进行深度学习
10 万元可以直接找刑侦了,他们很懂.... |
44
ksky 2016-08-22 07:41:18 +08:00
有什么东西一定得交给父母。别让他们自己去摸索。这是上次我爹用流量看了两百块的电视剧之后我总结的经验。
现在很多的服务,都会诱导用户去使用。而父母那辈人对于这种服务后面潜在的风险和问题并不太清楚。比如你告诉父母尽量不要开网银,开了网银有资金被盗。但是银行很多时候会默认或者诱导用户去开网银。 所以一定要教给爸妈,不要嫌麻烦,也不要任凭他们自己去摸索。 |
45
SNOOPY963 2016-08-22 07:53:50 +08:00
说起缺陷,年初 Apple ID 如果没开两步验证则可以知道密码就可以更改 Apple ID ,而不需要原有 Apple ID 的邮箱,连起码的其他再验证的方式都没有一点。锁定设备后更改掉 Apple ID 设备拥有者就一点办法没有除了拿购买凭据去售后这种需要高时间成本的方式。
再加上网易邮箱撞库,年初设备 Apple 设备被锁那可真是重大缺陷啊。也不知道现在改进没有。 |
46
terence4444 2016-08-22 08:09:11 +08:00 via iPhone
@KevinChan 这些信息是很重要,但是在当前的情况下,都已经不是保密信息了。
|
47
20015jjw 2016-08-22 08:09:47 +08:00 via Android
哈哈哈 小米你们也敢用
|
48
terence4444 2016-08-22 08:11:21 +08:00 via iPhone
@binux 要不是同步有缺陷,验证码也不会泄露。再加上这个同步有可能是由于系统诱导才开启的。
|
49
murmur 2016-08-22 08:29:51 +08:00
小米云服务要给手机发一个验证码啊。。这好奇怪的设置
|
50
faceair 2016-08-22 08:51:13 +08:00 via Android
小米可以开二步验证的
|
51
3yvsye 2016-08-22 09:04:32 +08:00
这招隔山打牛真厉害,吓得我赶紧关闭短信同步和删除记录,感觉这种情况最快速的方法就是马上关机或者退出该账号绑定=,=。
手机银行据我所用农行的账号只能绑定一个设备,换手机登录需要历史手机的解绑,这个是比较死板但可靠;招行可以用专业版设置手机验证码转账的限额,其他银行的 app 没接触不好说,如果不确定手机银行是否开通就去柜台取消就好,一般手机银行和网上银行是 2 种独立业务。 |
52
harry890829 2016-08-22 09:10:47 +08:00
从这类事情频发来看,我妈拒绝手机上一切银行卡交易,支付宝啊什么的都不装,需要就从电脑搞,虽然我妈用的 iPhone ,我和她说没什么事,但是她还是拒绝……
方法不一定正确,不过我妈那种,玩不转的东西就不弄,不乱尝试,毕竟都是钱啊 |
53
tjxiter 2016-08-22 09:11:49 +08:00
小米 和 百度的 任何服务、产品等一概不用。
|
54
killerv 2016-08-22 09:15:24 +08:00
小米的云服务太扯淡,更换绑定手机号码需要手持身份证,那要邮箱还有个毛用。
|
55
jookr 2016-08-22 09:23:47 +08:00
首先问问机主是不是从小米官网买的.
“不是?那对不起,你手机是假冒的,俺们概不负责。” |
57
Email 2016-08-22 09:52:31 +08:00
所有涉及敏感信息的同步开关, 都必须设置二级密码. 甚至短信验证.
|
58
pljhonglu 2016-08-22 09:54:43 +08:00
好久不用,帐号被封了,然后竟然还无法解封。。。。(╯‵□′)╯︵┻━┻
|
59
axzy 2016-08-22 10:14:58 +08:00
帖子已经被清空了,看不了了
|
60
dxfree 2016-08-22 10:20:22 +08:00
“小米方面积极配合,协助警方调查,作为受害方,文章内容暂时清空。”
|
61
hx1997 2016-08-22 10:23:50 +08:00
|
62
Rabbit52 2016-08-22 10:30:44 +08:00
我记得同步短信和通话记录 miui 是会先用内置 sim 卡发送短信激活的呀,不然一直是未激活不会同步
|
63
tSQghkfhTtQt9mtd 2016-08-22 10:36:42 +08:00
@hx1997 我也是想到了 Google Cache 23333
|
64
houzhenhong 2016-08-22 10:37:09 +08:00 via Android
但只有事情闹大了,有关方面才会引起重视,真是一种悲哀
|
65
fyooo 2016-08-22 10:39:31 +08:00
@honeycomb 对 MIUI 熟悉么?这个案例中不知道是否因为 MIUI 跟其他 android 系统一样,第三方的 app 都可以读取短信,导致验证码别偷取的?
|
66
lzhd24 2016-08-22 10:47:05 +08:00
如果有小米手机,不需要双清, MIUI8 自带手机分身功能。账号同步互不影响。
|
67
houzhenhong 2016-08-22 10:47:34 +08:00 via Android
@fyooo 从缓存页面中作者的更新
状态更新( 22 号 1 点 10 分):小米工作人员连夜与我们联系,得知小米在 8 月 21 号上午检测到了我母亲小米账户正在被撞库攻击,在犯罪分子用浏览器尝试登陆小米云服务、并打开短信同步权限时,下发过手机验证码短信。但存在疑问的是,小米表示下发的验证码被回填,但我们完全不知情,在小米 5 上面也看不到这条验证码短信,其间 SIM 卡完全正常运行。小米表示接受验证码的设备为小米 3 ,推测可能是 SIM 复制卡(存疑待查证)。母亲的手机卡为 4G 卡,理论上旧卡即使被复制也不能够正常接打电话、收发短信。以前我自己换 4G 卡时尝试再次使用旧卡开机,旧卡是连接不到网络的,所以这一点有待查证。 应该可以确认是 miui 同步导致的 来源 http://www.dwz.cn/3ZLKAP |
68
qiyuey 2016-08-22 11:03:49 +08:00 via Android
这个事件的重点并不是小米啊,为什么大家都在讨论小米?这个也值得深思
|
69
fyooo 2016-08-22 11:10:44 +08:00
@houzhenhong #67
应该不是复制 SIM 导致的短信验证码泄漏,作者已经说得比较清楚了:『母亲的手机卡为 4G 卡,理论上旧卡即使被复制也不能够正常接打电话、收发短信。』 短信验证码的泄漏倒是容易,国内应用市场乱,随便一个 app 都可以申请读取 sms 权限。在 Android kitkat 之前,甚至可以上行发送短信。 就算是高版本安卓,同样也有静默 root 的漏洞,比如 http://cn.engadget.com/2016/08/08/qualcomm-chip-security-holes/ 安卓系短信泄漏的途径很多,防御知识需要请教专家 @honeycomb 了 |
71
terence4444 2016-08-22 11:16:14 +08:00 via iPhone
@3yvsye 招行很扯,新的一网通只能用手机号和数字密码组合,原先的用户名+复杂密码不能用了,我把一网通删掉只用卡号登录还稍微安全一点。
要不是工资卡是招行,早就和它断绝关系了。 |
72
qiumaoyuan 2016-08-22 13:12:55 +08:00
上次支付宝出事我已经让我妈把钱存回银行了。让老人家用这些方便但是风险高的东西,一是相对更容易出事。二是出事之后你不在身边的话还更不好办,远程解决问题太麻烦。第三自己出事可以不让家里知道,但是父母出事难受的直接就是他们。
|
73
strwei 2016-08-22 13:51:49 +08:00
父母就该用诺基亚
|
74
mxonline 2016-08-22 15:13:42 +08:00
说实话, android 就不适合老年人用,他们应当用 iphone 或者 windows 10 mobile
|
75
konakona 2016-08-22 15:26:31 +08:00
国产的安全意识是比较薄弱的,尤其是打着情怀的公司。
但凡哪家公司的技术团队不出名,我不会放心的使用这样的服务。 |
76
3yvsye 2016-08-22 15:30:17 +08:00
@terence4444 右下角可以切换到旧界面吧,我是感觉它家服务做得最好,你数字密码设长一点, 4 次错误就锁号,柜台输入密码好像也比普通银行多一次。其实香港那些银行登录交易都没有那些复杂的验证,可能他们对那些资产保障做得很好,国内的智商要不停充值才行。
|
77
chengzhoukun 2016-08-22 15:41:27 +08:00
Gmail + Goole 身份验证器做两步验证应该没什么问题
|
78
chengzhoukun 2016-08-22 15:41:50 +08:00
Goole -> Google
|
79
terence4444 2016-08-22 15:52:44 +08:00 via iPhone
@3yvsye 我被骗用掌上生活,然后它自说自话把我的用户名删了变成手机号,再也注册不了用户名的一网通了。
这个密码是可以猜的,全数字一共就那么几位,每天试 2-3 次用户也不会发现。 |
80
Felldeadbird 2016-08-22 16:04:07 +08:00
2333.
我想起了 北京移动的短信盒子。 |
81
Felldeadbird 2016-08-22 16:08:09 +08:00
@9hills >>> 另外就算没有网银,快捷支付连银行卡取款密码都不验证的,不信可以自己去京东之类开下快捷支付。
我非常认同!!我手上有一张招行的借记卡和中国银行的借记卡,没有开过网银。在支付宝和微信支付 上,只需要填写预留的手机号码,收到短信验证码。然后就可以绑定银行卡快捷支付了。。想想就觉得可怕了!没开网银的竟然可以用网络支付。 |
82
binux 2016-08-22 16:59:49 +08:00
@terence4444 验证码泄露并不一定导致银行卡被盗,必要不充分。
|
83
killerv 2016-08-22 17:20:25 +08:00
更换绑定手机号码特么的麻烦,比备案都麻烦
|
84
terence4444 2016-08-22 17:24:17 +08:00 via iPhone
@binux 你确定吗?各种快捷支付没用过?
|
85
binux 2016-08-22 17:25:38 +08:00
@terence4444 我现在给你一个验证码,你盗个试试。
|
86
terence4444 2016-08-22 17:35:24 +08:00 via iPhone 1
@binux 强词夺理,你现在给我你的手机号,等验证码来的时候你给我验证码,敢不敢?
|
87
binux 2016-08-22 17:41:16 +08:00
@terence4444 KzQ0NzQyMTIzNDc3OAo=
|
88
terence4444 2016-08-22 17:46:46 +08:00 via iPhone
@binux 别给腐国号码来应付我啊,再说我也不知道这个号码是不是你的。
|
89
binux 2016-08-22 17:50:11 +08:00
@terence4444 你给我打个电话,或者发个短信看看是不是我的
|
90
terence4444 2016-08-22 17:54:11 +08:00 via iPhone
@binux 你应该已经收到 twitter 的验证码了
|
91
binux 2016-08-22 17:56:49 +08:00
@terence4444 2aatbfn6
|
92
terence4444 2016-08-22 18:00:13 +08:00 via iPhone
@binux 重置密码的页面已经关了,对你的帐号没兴趣。就算现在重置你也可以马上拿回去,但是密码在不知情的状况下被重置,麻烦就大了。
|
93
binux 2016-08-22 18:03:50 +08:00
@terence4444 就算你重置,我也会收到密码重置提示的。而且 twttier 上也没有银行卡信息。
|
94
kaneyuki 2016-08-22 18:21:09 +08:00
不是上次还有注销 SIM 卡进行复制的么
现在安全的底线是手机号 SIM 卡 |
95
binux 2016-08-22 18:21:53 +08:00
@terence4444 不过确实,掌握短信之后,获取其他的信息显得简单了很多。说不定受害人自己把银行卡,身份证发过短信给别人呢。
|
96
avrillavigne 2016-08-22 18:22:54 +08:00
@Felldeadbird 是 短信保管箱 ~
|
97
mingyun 2016-08-22 23:19:32 +08:00
知乎删了?
|
98
tcpdumpp 2016-08-23 10:07:02 +08:00
不针对谁,论推卸责任,小米只弱于支付宝!
|
99
errorlife 2016-08-23 10:23:37 +08:00
帮顶,进展如何。
|
100
okstjtqxer 2016-08-23 20:00:03 +08:00
|