互联网时代|王思聪因盗号怒喷美团，万亿巨头怎么就庇护不了用户( 二 )_

文章插图
换句话来说，此次被盗号或许与密码无关，而是极有可能遭遇了传说中的“社工库攻击”。事实上，社工库同样是凯文·米特尼克在《欺骗的艺术》中提出的概念，指的是社会工程学数据库（Social Engineering Database）。而所谓的社会工程学，是利用人性的弱点来体察、获取有价值信息的实践方法，是一种欺骗的艺术，并且这并非一门学科而是一个方法论。
在信息安全这一链条中，人的因素也被认为是最为薄弱的一个环节，社会工程学就是利用了人这个弱点，通过欺骗手段而入侵计算机系统的一种攻击方法。因此任你系统安全手段再严密，如果运维人员泄露了密码，这一切也就毫无意义了。

文章插图
考虑到在过去十多年间，数不清的数据泄露事件后，如今在黑产行业已经形成了若干个包含大量用户数据的库，甚至有观点认为，绝大多数网民在数据隐私上基本都处于“裸奔”状态，只不过相比于其他人而言，王思聪的目标更大。而按照网友公布的美团账号保护体系显示，只要知道手机号、身份证、生日这种“有心人”很容易拿到的信息，就可以换绑手机。并且目前各大互联网平台通常都是以手机这一实质上基于实名制的因素为核心构建账号安全体系，因此手机号的变更也就意味着账号易主就在顷刻之间。
正常情况下，在互联网安全领域的默认规则，是一个账号的核心安全属性主要是两个，即登录设备和IP地址。在登陆请求发生在非常用设备或IP的情况下，互联网厂商会在业务策略层面实行“非可信验证”，而美团的问题就发生在这里，其系统并没有要求请求登陆的用户进行二次验证。

文章插图
因此在这一次王思聪的大众点评账号被盗背后，一个事实也正在浮出水面，那就是除了与移动支付、互联网金融有关的互联网企业，以及在过去二十年间饱受盗号困扰的游戏厂商外，其他互联网厂商对于账号安全的重视程度，其实远没有外界想象的那么高。以美团这个市值万亿的互联网巨头为例，在需要用户证明“我是我”的时候，用的是身份证号（不是用户手持身份证的照片）、生日等很容易被泄露的信息，也并没有使用动态短信来验证。
美团对于账号安全的漠视，其实就与数日前微信为了让用户拥有“快速发图”的功能，而高强度读取用户手机相册背后的逻辑是一样的。互联网企业的思维还停留在PC互联网时代，并没有真切地意识到互联网已经成为了如今的“水煤电”，自然也就对于账号的价值有了认知偏差，他们重视用户数据却吝于保护用户账号的安全。

文章插图
在过去相当长的一段时间里，为了更好的获得用户增长、更好地服务用户，互联网企业选择的是尽可能多的为用户提供更加便捷、周到的使用体验，哪怕为此而牺牲隐私和安全。然而在流量红利不再，用户开始更加关注自身隐私保护的情况下，互联网厂商的思维同样也需要进行调整，例如双因素认证等更高级别、也更繁琐的账号安全防护体系，未来势必也将被更多平台引入。