Se robaron fondos de la cuenta de Dianping (vulnerabilidad de Dianping) Dianping Trust Gate
Abuso de confianza por parte de Dianping:
Mi número de cuenta suele estar en línea en casa o en el trabajo, normalmente al pasar mi tarjeta bancaria. Nunca me atrevo a depositar dinero en Dianping. Pero esta vez devolví el cupón de 79 yuanes durante el Festival de Primavera. Mi cuenta suele estar en línea en casa o en el trabajo. Normalmente paso mi tarjeta bancaria y nunca me atrevo a depositar dinero en Dianping.
Debido a que era el Festival de Primavera, una serie de familiares estaban ocupados y la cena se extendió por unos días sin ser publicada en Dianping Hace unos tres días, se envió un mensaje de texto al enlace de Dianping. a mi teléfono móvil (su reembolso ha sido reembolsado a la cuenta) Pensé que era un recordatorio de mensaje de texto bastante fácil de usar, espere unos días antes de gastar.
Como resultado, el dinero de mi cuenta fue reembolsado durante casi una semana, un día de repente me acordé de revisar la cuenta oficial y descubrí que el dinero de mi cuenta oficial se gastó ayer. (Y ayer estuve ocupado y no inicié sesión en Dianping). Lo que es aún más extraño es que no solo eso, el número de teléfono móvil que vinculé a Dianping también cambió. Qué cosa tan increíble (incluso mi novia y yo. No conozco la información de la cuenta).
En primer lugar, hablemos del proceso de consumo de Dianping. Durante el proceso de consumo, se enviarán recordatorios de consumo a su teléfono móvil. El contenido es (cuándo y dónde usó una determinada cantidad y a qué hora). y minutos lo usaste todos los días? Recordatorio cálido), más o menos así.
Y el ladrón está muy familiarizado con el proceso de Dianping. No solo inició sesión en mi cuenta, sino que también sabía que incluso si gastaba mi dinero, me enviaría un recordatorio si la cantidad era demasiado grande. . Definitivamente iría corriendo para averiguar qué estaba pasando o llamaría a la policía. Así que no sólo inició sesión en mi cuenta, sino que también cambió mi número de móvil al mismo tiempo. De esta manera mi teléfono no recibirá recordatorios de las compras de ayer. Qué ladrón más inteligente.
Entonces, o un hacker muy inteligente o uno de sus propios técnicos.
La primera vulnerabilidad 1: puede ser que cuando compre un punto de volumen para enviar mensajes de texto, mi teléfono móvil vinculado por defecto se muestre primero y todos puedan ser mostrados y vistos por cualquiera. (Debido a Dianping, debes completar el número de teléfono móvil original al cambiar tu número de teléfono móvil). Por lo tanto, después de la modificación, no pude recibir el cupón de consumo de la cuenta robada cuando recibí el mensaje de consumo por SMS.
Vulnerabilidad 2: Es muy fácil modificar el teléfono móvil vinculado. Solo necesita completar el teléfono móvil vinculado antiguo para cambiarlo por uno nuevo, o incluso enviar un código de verificación al teléfono anterior. para confirmar que el teléfono antiguo no existe. ¿No es un hacker? Después de ver mi teléfono móvil en los datos, puedo modificar mi teléfono móvil vinculado. (Si el código de verificación se modifica y envía, incluso si el hacker ve que mi teléfono ha sido modificado, no podrá hacer nada sin el código de verificación en mi teléfono).
La tercera laguna jurídica 3: siempre que el cliente llame y diga que quiere cambiar su número de teléfono móvil y le informe los últimos tres registros de consumo, el servicio de atención al cliente le ayudará a cambiar su número de teléfono móvil en dos días. . (Incluso si es un hacker, después de iniciar sesión en su cuenta y llamar a la computadora, puede ayudar a modificar las tres compras anteriores).
La cuarta laguna jurídica: normalmente me comunico con otras personas en casa y en el trabajo. En primer lugar, Dianping es ahora un sitio web donde puedes depositar dinero en efectivo. Este es el mismo que el sitio web del banco. ¿Cómo configurar fácilmente cookies y sesiones para guardar la información de inicio de sesión? ¿Cómo configurar fácilmente cookies y sesiones para guardar la información de inicio de sesión? Incluso si apago mi computadora en la oficina, otras personas pueden iniciar sesión automáticamente y gastar mi dinero como quieran cuando encienden su computadora. ¿Puede el banco configurar un mes sin iniciar sesión? Los bancos no pueden tener este tipo de función de inicio de sesión por reconocimiento facial. Si Dianping no es un sitio web de depósito y solo busca información, puede tener esta función de no iniciar sesión durante mucho tiempo, pero Dianping es un sitio web donde puede abrir una cuenta y realizar depósitos (y puede usar esta cuenta para consumir como siempre y cuando inicie sesión). Por lo tanto, deberíamos bloquearlo. Sobrevivir a esta laguna jurídica (incluso si la información se guarda, si no inicia sesión durante un mes, solo podrá explorar cierta información no confidencial. Incluso si puede ver el artículos comprados, no puede ver la contraseña del volumen de consumo. Al comprar, debe gastar dinero en la cuenta y enviarlo. El código de verificación o la contraseña se pueden usar para iniciar sesión.
Desde usted. Puede ahorrar dinero en la cuenta, debe prestar mucha atención a la propiedad del cliente al igual que un banco. No puede relajar la vigilancia sobre la propiedad del cliente.