近日,某车企用户账号被盗事件探讨(信息仅供参考)
一、三重验证咋成了「纸糊门锁」?
1. 人脸认证被「偷梁换柱」
该车企改绑账号要刷脸,但安卓系统可能被黑客截获面部数据缓存(就像用旧钥匙模子配新钥匙)。盗号者用3D面具或合成视频骗过系统,用户没泄露人脸却被认证,可能就是这漏洞造成的。
2. 身份证成「万能钥匙」
找回账号只填身份证号,不用原手机号验证(好比去银行只报身份证就能取钱)。若黑客搞到身份证和手机号对应表,分分钟重置账号。对比其他的车企还要同时验证车架号+手机号,多三倍安全。
3. 权限「一锅端」设计
把积分、电卡和车控权限绑在同一个账号,就像把存折和车钥匙放同一个钱包,丢了全没了。有的车企是分开账号,车控只留基础功能。
二、数据泄露两条路:内鬼还是黑客?
- 内鬼倒卖:盗号者精准拿到身份证和手机号,像2024年某车企交付中心员工倒卖5000条数据那样,内部人批量导出最可能。
- 第三方接口漏了:该车企曾用的云服务商之前被曝漏洞,导致用户信息外流,黑客可能拿这些信息撞库登录。
三、车主应对
1. 开双重保险
有些车辆的App可打开「陌生设备拦截」,非常用的手机登录要短信+人脸双重验证(类似微信设备锁)。
操作:我的→设置→账号安全→设备管理→开「登录保护」
2. 每月查「不速之客」
定期删「设备管理」里的陌生登录记录,没开通知可能就没发现异地登录。
3. 身份证「打水印」
给4S店的身份证复印件手写标注「仅限XX认证,XX年X月有效」,防信息被乱用。
四、车企应对
- 用「硬件安全芯片+动态密码」双认证,破解成本超500万才靠谱。
- 改绑账号要有严格认证流程,包括原手机验证码、人工核验等,另外删账号时应彻底删除人脸数据,要按高标准整改。
暂无评论
