當(dāng)前位置:首頁 >  科技 >  IT業(yè)界 >  正文

百度糯米網(wǎng)系統(tǒng)邏輯問題導(dǎo)致用戶賬戶被盜

 2014-04-20 09:13  來源: 用戶投稿   我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過

今日,小弟手機(jī)在晚上1點(diǎn)過收到短信,說您正在修改在百度糯米上綁定的手機(jī)號(hào),如非本人操作,請(qǐng)立即致電4006888887【百度糯米】,這個(gè)時(shí)候百度客服已經(jīng)下班,沒辦法即使聯(lián)系客服進(jìn)行處理,如果賬戶有錢的話,那上面的錢多半就會(huì)被使用,幸好小弟里面的錢沒有被使用,只是修改了注冊(cè)手機(jī)號(hào),連密碼都沒有修改。

百度糯米賬戶被盜,我第一反應(yīng)就是為什么修改百度糯米綁定賬戶不需要原手機(jī)號(hào)短信認(rèn)證呢?于是我就登陸查看,原來百度糯米修改手機(jī)號(hào),只需要您賬戶是登陸狀態(tài),然后點(diǎn)擊修改手機(jī)號(hào),輸入原手機(jī)號(hào),再輸入新手機(jī)號(hào),獲取新手機(jī)號(hào)就可以綁定到新手機(jī)號(hào)上了,如果百度糯米賬戶是手機(jī)注冊(cè)的,那么您的賬號(hào)名也就變了,如果手機(jī)號(hào)被修改了,黑客可以接著修改賬戶密碼、賬戶郵箱,要么這個(gè)賬戶就是黑客的了,您打電話到百度糯米,報(bào)手機(jī)號(hào)已經(jīng)查不到了,如果是報(bào)郵箱,也因黑客修改查不到了,此時(shí),您的賬戶就真的無法找回了。

從開頭百度糯米賬戶被登陸,到后面百度糯米賬戶無法找回,其實(shí)就只需要黑客知道您的登陸賬戶和密碼以及您的手機(jī)號(hào),那么這些信息哪里來的呢?還記得幾年前CSDN和天涯社區(qū)論壇的密碼泄露問題嗎?這些信息以及在網(wǎng)上公開,比如一家叫社工庫的網(wǎng)站,直接可以查詢到目前網(wǎng)絡(luò)上大部分公開的密碼庫,就因?yàn)檫@些賬號(hào)泄露了,而您的百度糯米賬戶和密碼恰好和這密碼庫的信息匹配,您百度糯米賬戶余額全部就會(huì)被黑客盜用,而且百度糯米客服也無法為您找回。

就因?yàn)楹诳椭烙脩舻馁~戶和密碼,就會(huì)導(dǎo)致您的賬戶全部被盜。小弟除了說自己的密碼被公開是某些不道德網(wǎng)站明文保持用戶信息被泄露以外,我還想說百度糯米網(wǎng)的系統(tǒng)邏輯有問題,具體有什么問題呢?我們下面來分析下。

首先第一點(diǎn),黑客通過用戶賬戶和密碼登陸百度糯米,然后修改綁定手機(jī)號(hào),只需要輸入原手機(jī)號(hào)、新手機(jī)號(hào)、新手機(jī)號(hào)驗(yàn)證碼,問題就來了,按道理修改綁定手機(jī)號(hào)都是需要原手機(jī)號(hào)驗(yàn)證碼的,為什么百度糯米卻不需要呢?這樣的話百度糯米網(wǎng)的安全就只有唯一的判斷,那就是用戶密碼,有了密碼什么都可以修改。

其次第二點(diǎn),黑客修改了綁定手機(jī)號(hào)以后,還可以修改綁定郵箱,流程一樣,通過綁定手機(jī)號(hào)驗(yàn)證短信輸入新郵箱就可以了。一個(gè)賬號(hào)的用戶名、郵箱就這樣被簡單的肆意修改掉了。

第三點(diǎn),修改用戶密碼,相信這點(diǎn)更沒有難度了。輸入原密碼,在輸入新密碼,就這么快速的修改了。

從一開始的黑客登陸賬戶,到后面修改手機(jī)號(hào)、修改郵箱、修改密碼,幾分鐘內(nèi)就可以無壓力的搞定,此時(shí)此刻您的百度糯米賬戶信息以及全部被修改了,百度糯米也沒有什么安全問題之類的設(shè)置。到用戶賬戶被盜后即可致電百度糯米客服,先不說晚上1點(diǎn)沒有客服上班只有等早上8點(diǎn)聯(lián)系。就算當(dāng)時(shí)是在客服上班時(shí)間,我們用戶打電話聯(lián)系百度糯米,客服問手機(jī)號(hào)多少,那你報(bào)手機(jī)號(hào)查詢結(jié)果是沒有的,因?yàn)楹诳鸵呀?jīng)修改了手機(jī)號(hào)了,賬戶名呢?用戶當(dāng)時(shí)用手機(jī)號(hào)注冊(cè)的,帳號(hào)名就是手機(jī)號(hào),黑客已經(jīng)修改手機(jī)號(hào)了,帳號(hào)名也就跟著變了,此時(shí)通過帳號(hào)名、手機(jī)號(hào)都無法查找,目前就只剩下郵箱了,可是唯一的郵箱也被黑客修改了呢?此時(shí)您所有的查詢信息都無法查找到您的賬戶了,百度糯米客服也沒辦法幫你找回,您的百度糯米賬戶從事就等于沒有了,當(dāng)然,賬戶的余額肯定是沒有了的。不過慶幸的一點(diǎn)就是,百度糯米網(wǎng)沒有綁定銀行卡的功能,如果有的話,那小弟不敢想象會(huì)發(fā)生什么嚴(yán)重的后果了。

在此,希望百度糯米除了譴責(zé)黑客社工用戶信息盜號(hào)以外,更應(yīng)該修復(fù)下自身的網(wǎng)站邏輯設(shè)置問題,防止更多的用戶出現(xiàn)該問題。

附加一些近日在微博上網(wǎng)友發(fā)的一些自己百度糯米賬戶被盜的微博信息來證明下該問題比較嚴(yán)重:

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)文章

  • W網(wǎng)三聲討人喜 “糯米網(wǎng)”域名拍出34.2萬元

    三聲母域名作為短域名的一種,字符簡短、方便記憶,在市場(chǎng)上很受米農(nóng)青睞,具有不小的應(yīng)用價(jià)值。近日,幾枚三聲母域名nmw.com、djy.com、zkn.com紛紛結(jié)拍了。

  • A5創(chuàng)業(yè)網(wǎng)播報(bào):百度外賣+糯米賣54億?談四大門戶現(xiàn)狀

    1.百度要賣91無線iOS業(yè)務(wù)有望被注入A股公司9月21日消息,A股公司一份公告顯示,百度有意出售91無線iOS業(yè)務(wù),目前尚未交易,價(jià)格未知。智度股份9月20日公告稱,其控股股東的一致行動(dòng)人西藏智度投資有限公司(以下簡稱西藏智度)下屬全資子公司福建智度科技有限公司(以下簡稱福建智度)擬收購百度旗下9

  • 從糯米網(wǎng)分析制作什么網(wǎng)站最賺錢

    小米曾經(jīng)“給我一個(gè)風(fēng)口,豬都能飛上天”的互聯(lián)網(wǎng)思維讓業(yè)界熱血沸騰,而隨著智能手機(jī)市場(chǎng)趨于飽和,“米黑”們說小米將走“凡客誠品”的道路,讓我們看到互聯(lián)網(wǎng)“城頭變幻大王旗”的殘酷,也許在這個(gè)時(shí)候,想要在互聯(lián)網(wǎng)賺錢,只有跟著BAT的步伐前進(jìn)是最明智的,所謂跑步入場(chǎng)不過是忽悠罷了!

  • 百度協(xié)議全資收購糯米網(wǎng) 發(fā)力推進(jìn)本地生活服務(wù)

    今天,百度和人人公司宣布簽署協(xié)議,根據(jù)協(xié)議百度將收購人人所持的全部糯米網(wǎng)股份,預(yù)計(jì)該交易將在2014年第一季度完成,交易完成后百度將成為糯米網(wǎng)的單一全資大股東。百度技術(shù)副總裁、糯米網(wǎng)CEO劉駿表示,“百度去年10月正式完成戰(zhàn)略投資糯米后,團(tuán)購業(yè)務(wù)整合順利、高速增長。百度看好以團(tuán)購為核心的本地生活服務(wù)

    標(biāo)簽:
    糯米網(wǎng)

  • 百度入股糯米網(wǎng) 打開移動(dòng)互聯(lián)網(wǎng)又一入口

    關(guān)注互聯(lián)網(wǎng)的朋友或許了解,2013年百度大舉并購,先是3.7億美金收購PPS,前不久花費(fèi)天價(jià)19億美元收購91無線,近期,百度入股糯米網(wǎng)1.6億美金。在這個(gè)移動(dòng)互聯(lián)網(wǎng)時(shí)代,百度雖然占據(jù)著大多的流量入口,但在移動(dòng)端似乎與騰訊、阿里及360相差不大等。百度上次天價(jià)收購91無

    標(biāo)簽:
    糯米網(wǎng)
加載更多

熱門排行

信息推薦