曲子龙|王思聪大众点评手机号被改绑专家：或与身份证泄露有关_宣传周|网络安全|中华人民共和

新京报贝壳财经讯（采访人员罗亦丹）10月10日，王思聪大众点评账号“被换绑手机号”登上热搜，根据王思聪在微博发布的截图，他的大众点评账号绑定的手机号于10月9日被更新成了其他手机，对此，王思聪@大众点评称“这就是上万亿市值公司的安全系统吗？莫名其妙我自己的号就能被别人改绑手机？”对此，大众点评在王思聪发文微博评论回应称：“您好，非常抱歉给您带来了不愉快的用户体验，相关账号已在反馈后的第一时间内予以保护性冻结。相关问题的核查已有初步信息，我们会在私信中与您同步。”
对此，民间互联网安全组织网络尖刀创始人曲子龙对贝壳财经采访人员表示，最近并没有发现美团或大众点评出现数据安全问题，在该事件中只定向地攻击了一个账户，王思聪账号被改绑或许与美团和大众点评的“密码找回”功能相关。
盗号者通过生日换绑手机号？采访人员实测美团已“堵住”漏洞
贝壳财经采访人员了解到，目前美团与大众点评使用了统一的账号体系，10月11日上午，继王思聪之后，微博网友@轩宁轩Sir登录美团账号发现，只要获得手机号和生日，就可以换绑美团APP的账号绑定手机号。

文章插图
微博网友测试发现输入身份证上8位生日号码可以改绑美团账号的手机号
10月11日下午，贝壳财经采访人员在美团APP上实测发现，在登录该APP时只要点击“遇到问题”后，可以选择点击“手机号无法接收短信”选项，此后，只要输入曾经绑定的手机号，就可以进行换绑。
但需要注意的是，在王思聪事件发生后，美团似乎对这一功能进行了“漏洞补充”，采访人员发现，@轩宁轩Sir进行测试时，美团APP只要求输入“无法接收短信的手机号码”即可，随后美团提示其输入身份证上8位生日号码，就完成了换绑操作。
但当贝壳财经采访人员测试时，美团在输入曾绑定的手机号时增加了一个提示，表示“暂只支持最近6个月修改过账号绑定手机号的用户”，而在采访人员填写手机号后，跳出的验证也并非生日号码，而是需要使用已经绑定的第三方账号进行验证。据了解，目前美团支持的第三方账号绑定包括微信、QQ和新浪微博，而采访人员遇到的是验证微信账号。

文章插图
采访人员实测发现美团“暂只支持最近6个月修改过账号绑定手机号的用户”
当采访人员输入未绑定第三方账号的但已注册美团的手机号时，美团APP则表示“该账号不支持线上找回，是否联系客服寻求帮助？”
曲子龙在10月10日使用自己账号也对美团APP进行了测试，在他的测试结果中，当进行手机换绑操作时，最后触发的验证是支付密码。
可以发现，在进行换绑操作时，美团以及大众点评APP会触发不同的验证机制，其中，第三方账号和支付密码的验证机制均较难突破。
“这件事情的核心问题点在于，如果用户在改绑手机号时触发的验证信息是身份证号上的出生年月日，那么由于现在身份证号的泄露很严重，改绑行为就很容易操作了。”曲子龙对贝壳财经采访人员表示。
身份信息泄露严重是“原罪”
据了解，现在大部分的APP应用，在账户保护上都采用多重信息验证的方式，在正常的用户操作发起找回密码、解绑手机或更改密码等操作的时候，平台会优先推荐使用手机验证码进行验证，这个方式也确实是目前阶段最容易证明“你是你本人”的最优方式。但是如果手机号码不可用，通过手机验证码无法验证，平台则会通过实名认证（姓名及身份证）、人脸识别验证、社交验证、预留密保信息验证等多种方式进行审核验证。