事件回顧——究竟哪里出問(wèn)題了？

8月21日晚，一篇《小米短信同步缺陷讓父母銀行卡被盜十萬(wàn)元》的知乎文章引起關(guān)注，整個(gè)事件簡(jiǎn)單來(lái)說(shuō)就是：

事主父母的浦發(fā)銀行卡被盜刷10萬(wàn)（含貸款4萬(wàn)），檢查下來(lái)發(fā)現(xiàn)是被人攻破了小米云的密碼，事主父母此前開啟了小米云的“短信同步”服務(wù)，導(dǎo)致銀行的驗(yàn)證短信被截獲。

“媽媽的手機(jī)是小米5，早上手機(jī)收到了小米'新增云同步設(shè)備'的通知提醒，二十分鐘后陸續(xù)收到銀行發(fā)送的多條短信驗(yàn)證碼、多條轉(zhuǎn)賬成功還有貸款成功的通知，時(shí)間間隔非常短。”事主知乎這樣寫道。

小米“新增云同步設(shè)備”的通知提醒截圖如下：

（來(lái)自事主的知乎，現(xiàn)原文已被暫時(shí)清除）

事件疑點(diǎn)：

1、銀行卡和密碼怎么丟的沒有說(shuō)清楚。

2、銀行為什么給辦理了貸款？

3、手機(jī)是否中了木馬未知。

另外，事主在知乎原文中記錄：“在犯罪分子用瀏覽器嘗試登陸小米云服務(wù)、并打開短信同步權(quán)限時(shí)，下發(fā)過(guò)手機(jī)驗(yàn)證碼”但是事主并不知情，”在小米手機(jī)5上也看不到這條驗(yàn)證短信，期間SIM卡完全正常運(yùn)行?！毙∶椎恼f(shuō)法是，接受這條驗(yàn)證碼的設(shè)備是小米3，推測(cè)可能是SIM復(fù)制卡，但是如果是復(fù)制卡，是可以直接收到銀行驗(yàn)證短信，那么就無(wú)需再通過(guò)小米云服務(wù)同步短信來(lái)操作了。

（截圖來(lái)自事主知乎最后更新）

關(guān)于這個(gè)說(shuō)法，雷鋒網(wǎng)也咨詢了資深安全人士，他表示兩邊的邏輯都不完全通——

“首先確實(shí)事主說(shuō)的對(duì)，如果手機(jī)卡已經(jīng)被復(fù)制，那么就無(wú)須再通過(guò)小米云獲取銀行的短信驗(yàn)證碼。但是事主所說(shuō)的關(guān)于復(fù)制卡就會(huì)導(dǎo)致原卡失效也是錯(cuò)誤的，只有補(bǔ)卡或者換卡的時(shí)候會(huì)導(dǎo)致原卡失效，復(fù)制卡如果成功兩張卡是可以同時(shí)使用的。”

也就是說(shuō)，在成功的情況下，復(fù)制卡是可以同時(shí)使用的。

2、短信驗(yàn)證的缺陷

這并不是小米第一次因?yàn)槎绦膨?yàn)證缺陷帶來(lái)的盜刷事件。

上個(gè)月，山西的王先生因?yàn)樾∶踪~號(hào)被盜，利用小米云服務(wù)的短信同步收獲其短信驗(yàn)證碼，并將事主本人手機(jī)里的短信自動(dòng)刪除，盜刷其銀行存款。

而與此類似的是，運(yùn)營(yíng)商的“短信托管”服務(wù)也曾被詬病，就是因?yàn)椴环ǚ肿訒?huì)利用非法手段獲取客戶的相關(guān)信息和密碼，再利用客戶信息開通了客戶手機(jī)的“短信保管箱”業(yè)務(wù)，從而獲取交易驗(yàn)證短信并盜取資金。

運(yùn)營(yíng)商一方面推出了短信密碼驗(yàn)證服務(wù)，另外并沒有對(duì)短信的安全性進(jìn)行升級(jí)，包括移動(dòng)的短信托管服務(wù)。另一方面，其他部門還是把短信當(dāng)做是通信服務(wù)來(lái)看待，認(rèn)知偏差導(dǎo)致了使用場(chǎng)景和設(shè)計(jì)場(chǎng)景的偏差。銀行會(huì)覺得，你運(yùn)營(yíng)商既然開通了短信驗(yàn)證密碼服務(wù)，你就得保護(hù)用戶短信的安全。

除了以上方法，手機(jī)木馬、偽基站、釣魚Wi-Fi都可以被利用從而獲得短信驗(yàn)證碼，進(jìn)而盜刷銀行存款。

那么，銀行方面為什么不用令牌？除了成本，就是市場(chǎng)對(duì)便捷性的追求。

“為什么要大力推手機(jī)銀行，因?yàn)槌杀?，還有創(chuàng)新業(yè)務(wù)和增值服務(wù)。小米為什么要搞云，因?yàn)樘岣哂脩粽扯?，提供長(zhǎng)尾增值服務(wù)，說(shuō)不定還可以通過(guò)分析短信內(nèi)容去挖掘用戶習(xí)慣。那么安全在哪里呢？安全在業(yè)務(wù)推廣和成本壓力下被忽視了，用戶就被赤裸裸地掛在黑暗森林里?！辟Y深安全人士這樣告訴雷鋒網(wǎng)。

3、不僅僅是小米的責(zé)任

從事主的賬號(hào)被盜、云服務(wù)同步短信到最后發(fā)生銀行卡盜刷行為，這個(gè)過(guò)程中涉及：手機(jī)廠商、運(yùn)營(yíng)商和銀行。

客觀來(lái)看，這件事光打小米是不合理的。

首先小米的云同步不是默認(rèn)設(shè)置的，一般用戶會(huì)使用默認(rèn)設(shè)置，如果修改默認(rèn)設(shè)置就意味著后果自負(fù)。

如圖：

其次，法律中的直接后果原則，即有限責(zé)任原則：小米提供云服務(wù)，只承擔(dān)云服務(wù)的責(zé)任，銀行提供金融服務(wù)就承擔(dān)金融服務(wù)的責(zé)任。舉個(gè)簡(jiǎn)單的例子，比如你用短信發(fā)的商業(yè)機(jī)密被泄露了，運(yùn)營(yíng)商只需要承擔(dān)泄露隱私的責(zé)任，而不是賠你合同，承擔(dān)泄密的后果。

這樣的說(shuō)法對(duì)大多數(shù)用戶來(lái)說(shuō)，顯得過(guò)于冰冷。在這件事情中，小米的責(zé)任是肯定有的，比如云服務(wù)商應(yīng)該對(duì)存放在云端的數(shù)據(jù)有所選擇，比如涉及照片等用戶隱私、銀行信息等敏感數(shù)據(jù)提醒用戶或者默認(rèn)不同步，并且進(jìn)行二次驗(yàn)證。

而從用戶角度，銀行卡和密碼又是怎么泄露的？可能的情況實(shí)在太多了：

是不是家里的網(wǎng)絡(luò)有問(wèn)題？

之前是否在不安全的地方用過(guò)網(wǎng)銀？

小米云備份的短信信息泄露了銀行卡和密碼？（有人會(huì)在短信上保存銀行卡密碼等信息）

......

這個(gè)事件其中一個(gè)疑點(diǎn)就是貸款問(wèn)題，如果貸款真的辦下來(lái)了，要不就是銀行規(guī)則有漏洞，要不就是銀行內(nèi)部人員操作。因?yàn)榫€上辦貸款，這種事情，即使是浦發(fā)銀行也做不出來(lái)的。

追究到最后，整個(gè)事件的核心問(wèn)題還是在于銀行的風(fēng)險(xiǎn)管控，畢竟銀行是短信驗(yàn)證的最終得益者。

銀行應(yīng)該細(xì)分場(chǎng)景然后進(jìn)行風(fēng)險(xiǎn)控制，比如手機(jī)支付在2萬(wàn)元以下，或者可疑的支付行為有電話進(jìn)行調(diào)查。

今天上午，小米方面已經(jīng)積極配合，事主也將內(nèi)容暫時(shí)清空，而事件疑點(diǎn)也有待進(jìn)一步解開。截止雷鋒網(wǎng)發(fā)稿為止，事主的知乎內(nèi)容如下：

關(guān)于這個(gè)事件背后的責(zé)任問(wèn)題，雷鋒網(wǎng)邀請(qǐng)了啟明星辰副總裁shotgun做深度分析，可關(guān)注雷鋒網(wǎng)后續(xù)出文。

雷鋒網(wǎng)注：轉(zhuǎn)載請(qǐng)聯(lián)系授權(quán)，并保留出處和作者，不得刪減內(nèi)容。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。