阿里巴巴安全部回復萬茜點贊事件 盜號的概率是非常低的

9 月 6 日晚，萬茜知乎賬號點贊了郁可唯和寧靜的惡評，引起網(wǎng)友熱議。IT之家了解到，該惡評稱，郁可唯和寧靜兩個人都挺煩的，寧靜是黑洞，能讓身邊的王者不敢發(fā)光，只想自己發(fā)光。

隨后萬茜解釋稱被盜號，并向波及到的姐姐們表示歉意。

對此，阿里巴巴安全部 @知安局 在知乎回答如何看待此事時表示，萬茜通過盜號聲明，把鍋安排給了盜號者和知乎的程序猿。只要平臺沒有明顯的漏洞，盜號的概率是非常低的，查詢登錄日志就可以快速判斷是否被盜。

阿里巴巴安全部稱，一個賬號的核心安全屬性主要是兩個，即登錄設(shè)備和 IP 地址。經(jīng)常登錄的設(shè)備和 IP，一般會被平臺默認為可信設(shè)備及地址。因此，判斷一個賬號是否被盜，只需要看這個賬號在自己未知情況下，是否在非可信設(shè)備和 IP 地址下登錄了。這個可以快速的從后臺的賬號登錄日志里查詢到。

那不法分子一般是怎么盜號的呢?主要有兩種方式：

第一種是通過無差別撞庫的形式，去盜取用戶的賬號和密碼。這種方式的特點是目標不明確，通常是批量性地去撞庫一批賬號，然后找到其中可用來盈利的賬號。

第二種是不法分子通過詐騙的方式誘導用戶登錄在他們提供的設(shè)備上或騙取用戶的賬號密碼及短信驗證碼。比如，有些不法分子聲稱掃碼可領(lǐng)紅包，對于安全意識比較低的人群而言，掃碼確認的時候，就已經(jīng)在不法分子手里的設(shè)備上登錄了。

對于這些賬號攻擊行為，互聯(lián)網(wǎng)平臺都會設(shè)置安全防護措施。比如，針對第一種撞庫行為，平臺可以通過設(shè)置風控模型，把絕大部分可疑的流量擋在平臺外面，這種情況可疑篩選掉大部分的惡意賬號攻擊行為。對于第二種，大部分互聯(lián)網(wǎng)公司都會在業(yè)務策略層面實行 “非可信驗證”。

阿里巴巴安全部還提供了一些小 tips，教大家如何保證自己的賬號安全：

賬號密碼的復雜度盡量高一些，不要設(shè)置弱口令，最近涼山州中考志愿填報系統(tǒng)被學生攻破就是教訓;不要在不常見的網(wǎng)站上登錄自己的微信、微博及支付寶等賬號，否則很有可能被這些網(wǎng)站采集到賬密;不同平臺的賬號，不要使用同一個或相近密碼，否則被撞庫的可能性很大;手機短信驗證碼不要透露給其他人，尤其是陌生人;不要把賬號借給不熟悉的人使用。

關(guān)鍵詞： 阿里巴巴 萬茜 點贊