好吧,我不是小米公司的,刚才无意浏览到
@曹一聪
知友的专栏文章(
http://zhuanlan.zhihu.com/p/22112908
),他在文中称“小米短信同步缺陷让父母银行卡被盗十万元”,有兴趣的知友可以浏览一下,大致问题是因为小米云服务在其他登陆同帐号进行设备访问时有验证不严的问题(跳过验证直接下载短信,可拦截验证码实现非法行为)。
曹一聪知友所遭遇的,大概就是因为小米帐号被盗,然后犯罪分子通过这枚帐号进行其他设备的登陆,然后同步(下载)短信获取相关银行的验证码,从而实现了转账操作。
之所以写这篇文字,是因为我也是小米云服务的用户,借此给所有使用小米云服务的提个醒:
但即便如此,也务必警惕使用各类手机的云服务和云盘,要定期修改你的密码、定期修改及验证密保、定期登陆云服务和云盘帐号的官方页面检查有无「异地登陆」或「设备绑定」的现象,如果有,务必及时采取锁定措施并联系官方客服,必要时也可以进行报警处理。对于重要的数据文件,建议定期进行本地多盘备份(硬盘+移动存储),硬盘有价,数据无价!
像曹一聪知友的问题,很可能是他父母的银行信息、身份信息、小米帐号均被盗取,又碰巧小米云服务有技术性的验证缺陷,所以上述因素直接导致被心怀不轨的人鉆了空子。关于小米的云服务验证不严的缺陷,这里还得@雷军老师,这个Bug的性质还是蛮严重的,根本不需要什么技术,跟当年Windows用智能ABC弹出输入法帮助文档跳过登陆验证是一个道理。
目前可以从「信息如何被泄漏」这个切入口给浦发银行和警方施压,否则即便不法分子拦截了你父母的短信,也没法执行转账操作,所以这个人是怎么得到如此多的信息,非常值得怀疑。是否是银行工作人员借口拿你了父母的手机?问了他们密码?然后进行社工撞库?都不好说。
上面我强烈推荐使用小米云服务的朋友装「小米安全令牌」,另外还推荐常上QQ的朋友们安装鹅厂的「QQ安全中心」,常用360的朋友们安装「360帐号卫士」,其他大公司的软件都会有类似的「安全令牌或安全中心」,个人建议老老实实安装,老老实实把自己的帐号安全等级提升到最大级别,我知道高手们都喜欢裸奔,但高手们的父母和女朋友裸奔就会很悲剧。
此外,有知友说我为什么不顺便推荐小米之外的手机?
恕我直言,在当今互联网的世界,哪来的“绝对安全”可言?你换了iPhone或其他手机又能怎样?如果你缺乏足够的安全意识,那么小儿科的社工依然能盗走你的个人信息甚至是钱财。把“安全”寄托于某个厂家或某个设备,是典型的偷懒行为。只有提高安全意识,具备一定的防范措施,养成本地勤备份勤查询的好习惯,才是重中之重。
良心建议,希望能帮到各位,安全问题,不容小视。
PS:为了确保文章的严谨性,刚才用备用手机登陆,提示必须要口令,之后又用同设备退出后重新登陆,提示仍然需要口令,怎么说呢,我认为如果装上小米安全令牌,并将安全措施提升到最高级,那么这个风险是可以规避的。
–
截止目前,作者专栏提示小米方面在积极配合并协助警方调查,希望曹一聪可以追回损失。
关于我对这件事的看法:https://www.zhihu.com/question/49872008/answer/118224051