阿里巴巴安全部回復(fù)萬(wàn)茜點(diǎn)贊事件 盜號(hào)的概率是非常低的

9 月 6 日晚，萬(wàn)茜知乎賬號(hào)點(diǎn)贊了郁可唯和寧?kù)o的惡評(píng)，引起網(wǎng)友熱議。IT之家了解到，該惡評(píng)稱(chēng)，郁可唯和寧?kù)o兩個(gè)人都挺煩的，寧?kù)o是黑洞，能讓身邊的王者不敢發(fā)光，只想自己發(fā)光。

隨后萬(wàn)茜解釋稱(chēng)被盜號(hào)，并向波及到的姐姐們表示歉意。

對(duì)此，阿里巴巴安全部 @知安局 在知乎回答如何看待此事時(shí)表示，萬(wàn)茜通過(guò)盜號(hào)聲明，把鍋安排給了盜號(hào)者和知乎的程序猿。只要平臺(tái)沒(méi)有明顯的漏洞，盜號(hào)的概率是非常低的，查詢(xún)登錄日志就可以快速判斷是否被盜。

阿里巴巴安全部稱(chēng)，一個(gè)賬號(hào)的核心安全屬性主要是兩個(gè)，即登錄設(shè)備和 IP 地址。經(jīng)常登錄的設(shè)備和 IP，一般會(huì)被平臺(tái)默認(rèn)為可信設(shè)備及地址。因此，判斷一個(gè)賬號(hào)是否被盜，只需要看這個(gè)賬號(hào)在自己未知情況下，是否在非可信設(shè)備和 IP 地址下登錄了。這個(gè)可以快速的從后臺(tái)的賬號(hào)登錄日志里查詢(xún)到。

那不法分子一般是怎么盜號(hào)的呢?主要有兩種方式：

第一種是通過(guò)無(wú)差別撞庫(kù)的形式，去盜取用戶(hù)的賬號(hào)和密碼。這種方式的特點(diǎn)是目標(biāo)不明確，通常是批量性地去撞庫(kù)一批賬號(hào)，然后找到其中可用來(lái)盈利的賬號(hào)。

第二種是不法分子通過(guò)詐騙的方式誘導(dǎo)用戶(hù)登錄在他們提供的設(shè)備上或騙取用戶(hù)的賬號(hào)密碼及短信驗(yàn)證碼。比如，有些不法分子聲稱(chēng)掃碼可領(lǐng)紅包，對(duì)于安全意識(shí)比較低的人群而言，掃碼確認(rèn)的時(shí)候，就已經(jīng)在不法分子手里的設(shè)備上登錄了。

對(duì)于這些賬號(hào)攻擊行為，互聯(lián)網(wǎng)平臺(tái)都會(huì)設(shè)置安全防護(hù)措施。比如，針對(duì)第一種撞庫(kù)行為，平臺(tái)可以通過(guò)設(shè)置風(fēng)控模型，把絕大部分可疑的流量擋在平臺(tái)外面，這種情況可疑篩選掉大部分的惡意賬號(hào)攻擊行為。對(duì)于第二種，大部分互聯(lián)網(wǎng)公司都會(huì)在業(yè)務(wù)策略層面實(shí)行 “非可信驗(yàn)證”。

阿里巴巴安全部還提供了一些小 tips，教大家如何保證自己的賬號(hào)安全：

賬號(hào)密碼的復(fù)雜度盡量高一些，不要設(shè)置弱口令，最近涼山州中考志愿填報(bào)系統(tǒng)被學(xué)生攻破就是教訓(xùn);不要在不常見(jiàn)的網(wǎng)站上登錄自己的微信、微博及支付寶等賬號(hào)，否則很有可能被這些網(wǎng)站采集到賬密;不同平臺(tái)的賬號(hào)，不要使用同一個(gè)或相近密碼，否則被撞庫(kù)的可能性很大;手機(jī)短信驗(yàn)證碼不要透露給其他人，尤其是陌生人;不要把賬號(hào)借給不熟悉的人使用。

關(guān)鍵詞： 阿里巴巴 萬(wàn)茜 點(diǎn)贊