近日,一家信息安全机构发布信息称,相当数量的在售手机号码处于“中毒”状态。购买人可以通过手机号码验证功能,进入前使用人的QQ、微信,包括一些金融账户。
手机收到“陌生人”出行信息
“手机号买了后,经常收到一些怪异信息,比如‘赵先生您已购z90次08车13号中铺‘。“家住北京的邓女士较近经常收到一些陌生的出行、购物、理财信息,而所有信息都指向一位名叫“赵志刚”的男士。
邓女士称,她此前一直认为收到的都是些垃圾短息,并未在意。直到收到一条申请变更QQ密码的验证信息,才意识到,原来自己所购入的手机号码之前一直有人使用。“后来发现,那些购票、理财信息都是发给前机主的。”
“号码收回来之后会重新发售。”记者就此问题咨询移动运营商,获知,因为号段资源有限,用户停止使用后,手机号码将退回运营商处,而经过一段“冷冻期”,该手机号码会被重新出售。“一般情况下,号码会在原属地区发售。”
记者获悉,目前,推向商业市场的11位手机号码,总体属于一种有限资源,并不能无限扩充。各运营商有自己特定号段范围,130至132号段为联通手机号段;133号段为电信手机号段,中国移动占有其余6个子号段,有134至139号段。而根据地域不同,3大运营商的号段则进一步向下细分。
手机旧号回售隐患
“大多数社交、购物、邮箱等网络服务,都将手机短信验证设置为高级安全权限,如果销号时,没有解除和这些服务的绑定关系,别人可以很容易的进入你的QQ空间、邮箱,甚至金融账户。“I春秋学院网络安全实验室负责人向记者表示,如果手机号码曾经绑定QQ号,而在停用该号码时,又未解除这种绑定,“可以通过‘找回密码’功能,输入手机号,然后回复验证码,这样就可以将原密码替换掉。“
”通过类似方法,QQ邮箱、微信、微博、淘宝、京东等账户都不再安全。 “该负责人向记者表示,由于各个网络服务商的安全验证功能具有关联性,一旦邮箱、手机号码都被掌握,安全链条相当于被撕开一个口子。“很多人的注册信息都存在邮箱,通过翻看来往邮件,基本可以知道你在哪里注册过什么产品,甚至包括注册的用户名。”
“本质上,手机号码已经处于个人网络安全链的核心,被赋予了高级权限。”
记者就此向移动、联通等运营商咨询,获知,用户停止使用手机号后,运营商没有权限解除该号码与app的绑定关系,需要用户自身手动消除。
手机号码“中毒”
“像这种未能解除app绑定就被重新发售的号码,我们称为‘中毒’状态,就是说,它对前机主个人信息存在安全隐患。” I春秋学院网络安全实验室负责人向记者表示,他们已对北京、上海、广州等地运营商线上营业厅公开待售号码随机抽取,并进行了技术测试。结果表明,这个现象非常普遍。平均每5个待售手机号中,就有一个绑定有不同程度的互联网账号信息。目前的测试显示,上海、江苏以及湖南等地区的公开待售号码‘中毒’比例较高。
“目前已经随机抽取测试10182个号码,有17%的号码中招。随着我们对用户数据收集,测试样本还将增加。”
专家:旧号回售应公示
“运营商可以和互联网公司建立联盟,由运营商来通知号码已经变更机主,互联网公司进行信息修改。”360网络攻防实验室负责人林伟告诉记者,一些网站可以提供二次验证机制,提高安全级别,“类似于手机号+u盾这样”。
林伟认为,在技术实现上,运营商旧号回收应该有个公示,可以让用户使用前查询号码是不是被注册过一些app。
