移動(dòng)業(yè)務(wù)漏洞

　　12日下午，北京移動(dòng)正式回復(fù)稱(chēng)，該手機(jī)號(hào)碼系通過(guò)海南?？贗P、采用客戶(hù)自設(shè)密碼登陸營(yíng)業(yè)廳，并通過(guò)客戶(hù)本機(jī)下發(fā)的驗(yàn)證碼換卡成功，業(yè)務(wù)流程辦理正常。事實(shí)上，整個(gè)過(guò)程中，北京移動(dòng)判斷登陸者為本人，且操作符合業(yè)務(wù)流程。北京移動(dòng)提醒用戶(hù)妥善保管并定期修改網(wǎng)站登陸密碼和客服密碼。

　　但引起爭(zhēng)議的是，業(yè)務(wù)流程本身是否合理？當(dāng)今天的手機(jī)號(hào)已經(jīng)關(guān)聯(lián)了銀行卡、支付寶、微信、QQ等至關(guān)重要的財(cái)產(chǎn)時(shí)，通過(guò)一個(gè)6位驗(yàn)證碼就可以完成自助換卡操作，這是否符合電信業(yè)務(wù)的“可靠性”要求？

　　自助換卡業(yè)務(wù)起源于4G時(shí)代。2014年，中國(guó)移動(dòng)4G用戶(hù)高速增長(zhǎng)，為了改善用戶(hù)體驗(yàn)，中國(guó)移動(dòng)推出“兩不一快”服務(wù)：客戶(hù)采用不登記、不換號(hào)的方式，用4G USIM卡替換原SIM卡。中國(guó)移動(dòng)免費(fèi)向用戶(hù)寄出空白SIM卡，用戶(hù)通過(guò)裝有原SIM卡的手機(jī)主動(dòng)發(fā)出短信即可完成換卡操作。該操作需要機(jī)主本人持原始SIM卡發(fā)出換卡請(qǐng)求，安全性很高。

　　但需要指出，由于中國(guó)移動(dòng)各省公司自主設(shè)計(jì)業(yè)務(wù)模式，北京、上海、廣東等數(shù)個(gè)省市移動(dòng)公司在開(kāi)通短信自助換卡的同時(shí)，還開(kāi)通了網(wǎng)上營(yíng)業(yè)廳自助換卡、手機(jī)APP自助換卡流程。同時(shí)，各省的空白SIM卡不僅掌握在移動(dòng)手中，諸多社會(huì)渠道也擁有發(fā)放的權(quán)利，甚至淘寶上也可以搜索到這類(lèi)SIM卡，風(fēng)險(xiǎn)由此而來(lái)。

　　獵豹移動(dòng)安全專(zhuān)家李鐵軍認(rèn)為：“如果移動(dòng)不緊急調(diào)整自助換卡業(yè)務(wù)和139郵箱短信收發(fā)業(yè)務(wù)，也許此類(lèi)詐騙會(huì)很快泛濫全國(guó)。”他告訴記者，解決這個(gè)問(wèn)題很簡(jiǎn)單，“自助換卡必須二次確認(rèn)，明確提示用戶(hù)換卡操作的事項(xiàng)；而139郵箱的短信，則應(yīng)顯示‘這是來(lái)自XXX@@139郵箱的消息’。”增加這兩項(xiàng)提示內(nèi)容后，消費(fèi)者被迷惑的可能性會(huì)大大降低。

　　據(jù)獵豹移動(dòng)統(tǒng)計(jì)，國(guó)內(nèi)已經(jīng)存在大量泄露的銀行卡信息，李鐵軍介紹：“全國(guó)詐騙分子每天會(huì)嘗試登陸2000-3000個(gè)銀行卡，而且這些銀行卡都匹配著正確的身份證、手機(jī)號(hào)信息。”按照這一統(tǒng)計(jì)，每年遭到攻擊的銀行卡數(shù)量大概70-100萬(wàn)左右，涉及金額接近約200億元。而如果這些詐騙分子通過(guò)這種手法將這些手機(jī)號(hào)碼換卡，這些銀行卡岌岌可危。