近日，有網友將自己手機失竊后遭遇的一系列個人信息被盜用的經歷寫成文章，刷屏朋友圈，引發熱議。

文章中，用戶手機被盜后未及時掛失電話卡，給不法分子留下了鉆空子的空間，不法分子通過“手機號+驗證碼”弱驗證方式獲取某政務APP中用戶身份證號等個人重要信息，利用用戶個人信息更改了手機服務密碼，利用話術欺騙誘導電信企業客服人員將已掛失的電話卡進行解掛，利用部分網貸平臺“找回用戶密碼”漏洞重置用戶支付密碼騙取網貸資金，最終造成用戶財產損失。

值得注意的是，當前，使用手機短信驗證碼驗證用戶身份的技術，被廣泛應用于銀行金融、社交媒體、電子商務等各類移動APP服務。然而短信作為一種2G網絡的通信方式，其本身安全防護等級并不高。

對此，工信部近日發文表示，建議相關單位和企業及時對數據進行脫敏處理，并建議相關行業按照最小必要原則收集、存儲、使用用戶個人信息，對已收集存儲的用戶個人信息分級分類妥善保存。同時，工信部也提醒廣大用戶及時設置SIM卡密碼，在丟失手機后應第一時間掛失，強化安全風險意識。

相關業內專家在接受人民網IT頻道采訪時指出，這一事件也暴露了目前網上APP、支付等環節過于依賴“短信驗證”這一安全短板。基于2G網絡的短信安全驗證猶如“沙灘上的堡壘”，便捷之外存有安全隱患，網上支付平臺、APP服務提供商應盡快堵住這一安全短板，完善用戶身份驗證措施，以確保用戶個人信息和財產的安全。

網上支付依賴“短信驗證”存隱患

當前，手機已成為許多人生活工作必備品，承載了手機號碼、銀行卡信息、社交媒體賬號信息等諸多個人信息，手機對保護個人信息安全的重要性日益突出。

雖然手機丟失只是極小概率的事件，但是也給個人信息安全保護敲響了警鐘。

隨著移動支付的普及，“短信驗證”是目前最便捷的驗證方式，人們只需要在手機上操作，就可以便捷快速地完成開通業務、支付款項等活動。然而，科技的進步帶來的不僅是便捷，還有安全隱患。因此手機短信驗證碼已被廣泛應用于各類移動應用、網站服務。用戶可以通過短信驗證碼進行修改密碼、修改綁定郵箱等敏感操作。

同時，短信驗證碼也能讓用戶不輸賬號密碼直接登陸。目前大多數APP，在掌握手機號碼的前提下，都可以無密碼登陸。手機只要收到系統發送的驗證碼，就可以快速登陸。

對手機用戶來說，一旦短信驗證碼內容被外泄，不法分子就可以利用獲取的用戶手機號碼和驗證碼登錄個人賬戶，用戶會面臨個人信息泄露甚至財產損失的風險。

360安全研究員俞奎認為，從研究所得的短信驗證碼多個攻擊角度來看，在這個案例中，存在漏洞的實體均沒有考慮手機號驗證的可信問題，即平臺驗證的是設備，設備在誰手中，誰就是設備的“主人”，“這種情況下，一旦手機丟失、手機卡落到不法分子手中，或手機短信驗證碼被劫持，就可能存在身份被冒用、資金盜刷的情況”。

獨立電信分析師付亮認為，基于2G網絡的短信安全驗證猶如“沙灘上的堡壘”，便捷之外存有安全隱患，網上支付平臺、APP服務提供商應盡快堵住這一安全短板，完善用戶身份驗證措施，以確保用戶個人信息和財產的安全。

人民網IT頻道在采訪過程中，多位來自通信、安全領域的業內人士均表示，目前涉及到支付確認、修改支付密碼等高度涉及用戶資金安全的驗證時，如果僅僅是依靠短信驗證碼來確認用戶身份，具有一定的安全隱患，希望有關部門及網上支付平臺重視這個問題，尤其是網上支付平臺不能為了便捷而犧牲用戶的資金安全。

從技術上來說，2G的GSM網絡使用單向鑒權技術，且短信內容以明文形式傳輸，該缺陷由GSM設計造成，且GSM網絡覆蓋范圍廣，因此修復難度大、成本高。

更重要的是，對于網上支付平臺來說，除了短信驗證之外，在涉及大額支付及修改用戶交易密碼等關鍵環節，增加新的驗證手段，比如引入指紋、人臉識別等方式，也刻不容緩。

用戶身份信息保護機制仍待完善

在這起案件中，不法分子在失主掛失電話卡后，利用話術欺騙誘導電信企業客服人員將已掛失的電話卡進行解掛，從而獲取了某些APP的短信驗證碼。

工信部對此強調，要求三家基礎電信企業在服務密碼重置、解掛等涉及用戶身份的敏感環節，在方便用戶辦理業務的同時強化安全防護，加強客服人員風險防范意識培訓，警惕業務異常辦理行為。

人民網記者從中國電信了解到，目前，丟失手機所屬地運營商四川電信，已經取消了電話解掛的方式。

中國聯通則表示，為了保障用戶的信息安全和財產安全，將強化現有解掛流程的身份認證。未來，用戶辦理掛失業務后，可通過兩種方式辦理解掛，一是攜帶有效證件到營業廳辦理解掛業務，二是通過人證一致的活體認證后在手廳進行解掛操作。

同時，中國聯通現階段暫時關閉手廳、10010人工和智能客服等渠道的解掛操作，號碼登記人需要攜帶本人有效身份證件至聯通營業廳核驗身份信息后補卡或解除掛失；用戶仍可通過營業廳、手廳、10010等渠道便捷掛失。

據了解，為方便異地用戶，中國聯通已實現跨域服務，在異地的聯通自有營業廳也可提供補卡/解掛失服務，用戶可以選擇就近聯通自有營業廳進行辦理。

中國移動表示，將按工信部要求，優化客戶服務密碼重置、解掛流程，在涉及用戶身份的敏感環節強化安全防護，加快應用遠程人像比對身份鑒權，保障客戶辦理便捷性和安全性，并進一步強化信息安全防范意識宣傳，做好同類場景的客戶溝通和風險提示。

互聯網企業應承擔更大安全責任

針對短信驗證帶來的安全隱患，全國信息安全標準化技術委員會在2018年2月曾聯合多家單位發布了《網絡安全實踐指南——應對截獲短信驗證碼實施網絡身份假冒攻擊的技術指引》，明確指出了基于短信驗證碼實現身份驗證的安全風險現狀、困難點，并給出了目前專家們認為可行的方案。

《安全指南》建議，各移動應用、網站服務提供商對業務系統中短信驗證碼的使用方式進行摸底，例如在用戶注冊、密碼找回、資金支付等環節的短信驗證碼使用情況，并評估相關安全風險，優化用戶身份驗證措施。建議采用多種方式組合，加強安全性。

這份指南同時強調，個人用戶應做好手機號、身份證號、銀行卡號、支付平臺賬號等敏感信息的保護。在收到來歷不明的短信驗證碼等異常情況時，提高警惕，及時聯系相關移動應用、網站服務提供商。

專家提出，面對層出不窮的網絡攻擊技術，互聯網企業更應該有所行動，加強風險防范，承擔起更大的責任。

對此，人民網IT頻道采訪了微信、京東金融等互聯網企業。微信官方表示，目前微信具有“帳號保護”機制、緊急凍結功能，以及防詐騙提醒機制；同時微信支付具有一整套的安全機制和手段，包括：錢包鎖、支付密碼驗證、終端異常判斷、交易異常實時監控、交易攔截等。若用戶不慎丟失手機，應該第一時間撥打微信支付客服專線“95017”轉9鍵自助凍結賬戶支付能力，可有效避免資金損失。

京東金融方面表示，建議用戶及時撥打京東金融官方客服電話：95118，與官方客服取得聯系，在核實身份信息后，為用戶提供止付等動作，協助用戶降低資金被盜風險，避免資金損失。

俞奎則建議，針對這起案例中出現的情況，從攻擊角度來看，作為用戶可以通過以下幾個層面來安全防護：

1、給手機SIM卡設置密碼，防止手機丟失后，手機卡被盜用。

2、手機丟失后，及時聯系運營商掛失手機卡，防止手機丟失后，手機卡被盜用。

3、給手機設置復雜的解鎖密碼（超過6位的數字+字母），防止手機鎖屏密碼短期內被破解。

4、給手機應用設置安全鎖，防止他人獲得手機應用內信息。