北京移动暂停短信保管箱业务 疑”短信保管箱”存漏洞

 

baoxianxiang央广网北京7月17日消息(记者周益帆)据中国之声《新闻晚高峰》报道,手机、银行卡、U盾都在身边,但是储蓄卡里的钱,却莫名其妙的被转走。多位网友反映,自己使用的中国移动的号码,在近日突然被开通“短信保管箱业务”,而如果这个手机号绑定了工商银行的储蓄卡,会同时被开通工商银行“e支付”,随后,卡上的钱却被转走。

7月1号,北京的梁先生手机突然收到了一条来自中国移动客服10086发来的短信:

  梁先生:晚上10点,说:“您已经开通了短信保管箱业务,72小时退订免费”,我给10086打了一个电话,我说我怎么会订这个?10086说因为是7月1号,他们月初查不了,但是他可以操作给我退掉,我说那您给我退掉吧,我也收到了退掉的短信,过了两三分钟以后,我又收到了一条短信,上面写,您已经申请开通短信保管箱业务,即将扣费。

梁先生再次联系10086,第二天上午中国移动退还了这项业务所扣费用。令他没有想到的是2015年7月6号,他的手机再次被开通了这项所谓的短信保管箱业务,就在这一次,他一张工行芯片卡上的钱被转走了。

  梁先生:7月6号晚上,我手机一下收到了大约十条注册各种网站的验证码,当我在查的时候又来了一条,实际上是混在这十条里面,有一条:您已开通了短信保管箱,是10086发给我的。我当时就很紧张了,我赶紧给10086打电话,接通以后我的手机又想响了,是95588也就是工商银行给我发来的短信,说我的那个芯片卡正在进行转账,金额是9990。同时也是10086客服接着电话呢嘛,我就跟他说我的银行卡正在被盗刷,可能是你们这个短信保管箱业务,因为刚刚被开通了,你现在立即把我的短信保管箱业务给关掉。

梁先生同时还关闭了移动梦网,但十分钟后,他的手机再次被订购短信保管箱业务,同时银行卡再次被转账2000。梁先生这才意识到要求10086关闭相关业务并不能彻底解决盗刷,于是他赶紧让家人挂失银行卡,并准备第二天把对账单打印出来后,到派出所报警。

然而,几个小时后7月7号凌晨,他的手机再次接到10086的短信,提示“开通了短信保管箱业务”,而另一张预留了同样移动号码的工行磁条卡,也被转账2000元:

  梁先生:我赶紧打电话,又把磁条卡又挂失了,在挂失的过程中,我的芯片卡依然在接受转账申请,但是实际上它没有转出去。

盗刷事件发生之后,梁先生开始在微博上更新维权日记,截至目前,已经被转载500多次。他说,在把自己的事情发布到网络上之后,陆续有20多个绑定移动号码的工商银行用户与梁先生联系,表示自己经历了相同事件。中国移动的短信保管箱业务和工商银行的e支付,究竟是什么业务,漏洞又出在哪里?

根据中国移动的官方介绍,短信保管箱,是北京移动自有数据业务产品,可以自动将用户发送、接收的短信同步备份存储到云端,用户通过指定的网站进行查询并管理短信内容。

而工商银行的“e”支付,正是一项基于短信验证码的快捷支付功能。

  工商银行95588客服人员:它是通过短信接收动态验证码完成付款的,您付款的时候选择e支付了,把卡号后六位和预留手机号填好,它会给您发短信,上面有动态验证码,输入动态验证码,就完成付款了。

也就是说,如果工商银行卡预留的手机号是北京的移动号码,同时开通这两项业务,就存在被转账的可能。今天,360针对短信保管箱业务发布手机安全橙色预警:

  360:银行之所以会用验证码这样的方式作为安全验证的手段,是因为假定只有手机用户可以看到这个短信,而且这个短信是通过独立的通信渠道来传输的,而不是互联网传输的,事实上,当短信出现了托管业务,短信保管箱这种云端备份服务,它客观上来说,提供了另外一种阅读短信的方式,这就降低了降低了验证码的安全性和独立性。

目前,多位受害者都已前往开户行所在的派出所报案,案件没有实质性进展。今天下午,北京移动公司给中国之声发来书面回复,称查询历史短信的功能已紧急关停,同时公司对十多起类似客户投诉进行了核查,发现不知情定制是使用客户的手机号和客服网站密码,通过手机登录客服网站开通,目前并没有任何迹象显示是中国移动网站被攻击造成了客户信息泄漏。北京移动方面正在进行对比客户被盗刷时段的数据记录,如果查实确实是移动的业务问题,愿意承担赔偿责任。

手机被莫名开通“短信保管箱”业务,绑定银行卡随后发生转账时间一事进展,中国之声将继续关注。

本文由 短信运营者 作者:onesmser 发表,其版权均为 短信运营者 所有,文章内容系作者个人观点,不代表 短信运营者 对观点赞同或支持。如需转载,请注明文章来源。
0

评论:

1 条评论,访客:1 条,站长:0 条

0%好评

  • 好评:(0%)
  • 中评:(0%)
  • 差评:(0%)

发表评论