本人喜欢有空看看晋江网文,最近年尾比较忙,没怎么打开晋江,结果昨天打开的时候,突然提示我账号异常,然后我怀疑是被盗号了,进行申诉后重新登录,发现自己花钱买的晋江币几乎被盗号者清空!
1. 异常行为监测不到位
回看购买记录,盗号者一共盗刷了我【11845】晋江币,折合人民币【118.45】元,并且都是一天之内多次购买不同的文,而这些文的阅读进度全都是0%。
然后我查了一下网上,许多被盗号的读者都有类似遭遇!
基于这样的阅读行为,晋江竟然没有做异常行为监测。如果有设置异常行为的规则,那么可以排查出可疑消费,从而发现异常用户,及时冻结账户,避免更大损失。
2. 异地登录不提醒
我承认自己不够严谨,使用了重复密码,增加了被盗号的风险,是有责任的,但是晋江的账户安全真的太儿戏了!
登录日志可见,10月11日出现连续不同端的异地登录,我竟未收到任何异常消息提醒。
11月6日和12月6日盗号者也异地尝试登录,我都没收到异常提醒
直到12月15日,盗号者连续多次异地登录,把钱花光。
12月16日晚上,我终于有空打开晋江,提示账号异常登录不了,这个异常是【定义我是异常用户】!真的很可笑!
这么简单的行为监测都没有,获取用户登录地方对比是否一致,不一致时发送短信或邮件进行异常提醒,功能实现很简单,而注册的时候手机号和邮箱都留了的!
3. 被盗后,原登录不退出
然后再细看一下,10月11号,我的账户就被异地登录被盗了!而我手机端晋江依旧处于登录状态,可以打开!
我简直大无语!晋江竟然【没有做登录状态失效处理】!即账号只要账号密码对,就可以随时随地同时登录!
正常情况下,移动端应该只能有一个登录状态有效,即便换新手机,用账号密码登录,那么旧的登录状态置为失效,用户在原登录的手机再次打开时就会被强制退出登录。
而且,晋江不同端如web端另外登录,若不开启安全保护,竟然不需做任何验证就能成功登录!
这导致我未发现登录异常,以为自己看文买文多,晋江币一下就用完了!
若有做登录状态失效处理,那么当盗号者登录了我的账号,我就会强制退出,会意识到不对劲,去看看日志,或许就发现被盗号,及时修改密码,开启账号安全保护,避免更大的损失。
然而没有,于是我傻傻地继续充值看文,最近比较忙,没空看晋江,直到12月16日打开显示账户异常无法登录才意识到被盗号,申诉再次登录后晋江币几乎被盗刷完,损失加倍!
4. 安全设置形同虚设,需手动开启才生效
被盗号后,我在开通各种安全保护的过程中,越发觉得晋江态度傲慢。
明明有那么多安全验证设置,却一点提醒也没有,全得用户自己手动开启才生效,等于平台有很多隐秘的安全措施,用户你们自己看着办。
我咨询客服,回复的意思就是假如你没开启账号安全保护,发生盗号的损失属于个人责任。如果有重大金额损失请自行报警处理。
非常好,免责声明!
用户未设置账号安全保护也需及时提醒,这也是平台的义务!
就像个税APP,许久没登录,再次登录时至少人家提醒你修改密码!
win10系统也会定时提醒你修改电脑密码!
晋江在登录逻辑存在巨大安全漏洞的情况下,依旧保持沉默,一个提醒都没有!
5. 安全漏洞过失
晋江平台存在明显漏洞才给了盗号者可乘之机
- 对于多次购买且阅读进度为0%等异常行为监测不到位
- 异地登录不提醒
- 被盗后,原登录不退出,导致不能及时发现
- 安全设置形同虚设,需手动开启才能生效,并在登录逻辑有问题的情况,没有履行及时提醒的义务
网上,许多被盗号的读者都有类似情况出现,而晋江不是及时处理,而是置之不理。
晋江平台有严重的安全漏洞过失!
6. 后续处理结果
通过晋江站短投诉登录报错,提交了证据截图并罗列了系统存在问题,晋江工作人员联系了我,进行沟通。
对方确认了我在被盗号期间移动端一直保持登录,没有被退出登录,导致不能及时发现被盗号。
最终经过相关人员核查,确认了问题的存在,晋江将盗刷的晋江币进行了退订处理,返还到账户。
最后,希望晋江尽快完善系统,修复好安全漏洞,保障读者利益!
