域名預(yù)訂/競價，好“米”不錯過

今日，小弟手機在晚上1點過收到短信，說您正在修改在百度糯米上綁定的手機號，如非本人操作，請立即致電4006888887【百度糯米】，這個時候百度客服已經(jīng)下班，沒辦法即使聯(lián)系客服進行處理，如果賬戶有錢的話，那上面的錢多半就會被使用，幸好小弟里面的錢沒有被使用，只是修改了注冊手機號，連密碼都沒有修改。

百度糯米賬戶被盜，我第一反應(yīng)就是為什么修改百度糯米綁定賬戶不需要原手機號短信認證呢?于是我就登陸查看，原來百度糯米修改手機號，只需要您賬戶是登陸狀態(tài)，然后點擊修改手機號，輸入原手機號，再輸入新手機號，獲取新手機號就可以綁定到新手機號上了，如果百度糯米賬戶是手機注冊的，那么您的賬號名也就變了，如果手機號被修改了，黑客可以接著修改賬戶密碼、賬戶郵箱，要么這個賬戶就是黑客的了，您打電話到百度糯米，報手機號已經(jīng)查不到了，如果是報郵箱，也因黑客修改查不到了，此時，您的賬戶就真的無法找回了。

從開頭百度糯米賬戶被登陸，到后面百度糯米賬戶無法找回，其實就只需要黑客知道您的登陸賬戶和密碼以及您的手機號，那么這些信息哪里來的呢?還記得幾年前CSDN和天涯社區(qū)論壇的密碼泄露問題嗎?這些信息以及在網(wǎng)上公開，比如一家叫社工庫的網(wǎng)站，直接可以查詢到目前網(wǎng)絡(luò)上大部分公開的密碼庫，就因為這些賬號泄露了，而您的百度糯米賬戶和密碼恰好和這密碼庫的信息匹配，您百度糯米賬戶余額全部就會被黑客盜用，而且百度糯米客服也無法為您找回。

就因為黑客知道用戶的賬戶和密碼，就會導致您的賬戶全部被盜。小弟除了說自己的密碼被公開是某些不道德網(wǎng)站明文保持用戶信息被泄露以外，我還想說百度糯米網(wǎng)的系統(tǒng)邏輯有問題，具體有什么問題呢?我們下面來分析下。

首先第一點，黑客通過用戶賬戶和密碼登陸百度糯米，然后修改綁定手機號，只需要輸入原手機號、新手機號、新手機號驗證碼，問題就來了，按道理修改綁定手機號都是需要原手機號驗證碼的，為什么百度糯米卻不需要呢?這樣的話百度糯米網(wǎng)的安全就只有唯一的判斷，那就是用戶密碼，有了密碼什么都可以修改。

其次第二點，黑客修改了綁定手機號以后，還可以修改綁定郵箱，流程一樣，通過綁定手機號驗證短信輸入新郵箱就可以了。一個賬號的用戶名、郵箱就這樣被簡單的肆意修改掉了。

第三點，修改用戶密碼，相信這點更沒有難度了。輸入原密碼，在輸入新密碼，就這么快速的修改了。

從一開始的黑客登陸賬戶，到后面修改手機號、修改郵箱、修改密碼，幾分鐘內(nèi)就可以無壓力的搞定，此時此刻您的百度糯米賬戶信息以及全部被修改了，百度糯米也沒有什么安全問題之類的設(shè)置。到用戶賬戶被盜后即可致電百度糯米客服，先不說晚上1點沒有客服上班只有等早上8點聯(lián)系。就算當時是在客服上班時間，我們用戶打電話聯(lián)系百度糯米，客服問手機號多少，那你報手機號查詢結(jié)果是沒有的，因為黑客已經(jīng)修改了手機號了，賬戶名呢?用戶當時用手機號注冊的，帳號名就是手機號，黑客已經(jīng)修改手機號了，帳號名也就跟著變了，此時通過帳號名、手機號都無法查找，目前就只剩下郵箱了，可是唯一的郵箱也被黑客修改了呢?此時您所有的查詢信息都無法查找到您的賬戶了，百度糯米客服也沒辦法幫你找回，您的百度糯米賬戶從事就等于沒有了，當然，賬戶的余額肯定是沒有了的。不過慶幸的一點就是，百度糯米網(wǎng)沒有綁定銀行卡的功能，如果有的話，那小弟不敢想象會發(fā)生什么嚴重的后果了。

在此，希望百度糯米除了譴責黑客社工用戶信息盜號以外，更應(yīng)該修復下自身的網(wǎng)站邏輯設(shè)置問題，防止更多的用戶出現(xiàn)該問題。

附加一些近日在微博上網(wǎng)友發(fā)的一些自己百度糯米賬戶被盜的微博信息來證明下該問題比較嚴重:

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！