移動業(yè)務漏洞

　　12日下午，北京移動正式回復稱，該手機號碼系通過海南?？贗P、采用客戶自設密碼登陸營業(yè)廳，并通過客戶本機下發(fā)的驗證碼換卡成功，業(yè)務流程辦理正常。事實上，整個過程中，北京移動判斷登陸者為本人，且操作符合業(yè)務流程。北京移動提醒用戶妥善保管并定期修改網(wǎng)站登陸密碼和客服密碼。

　　但引起爭議的是，業(yè)務流程本身是否合理？當今天的手機號已經(jīng)關聯(lián)了銀行卡、支付寶、微信、QQ等至關重要的財產(chǎn)時，通過一個6位驗證碼就可以完成自助換卡操作，這是否符合電信業(yè)務的“可靠性”要求？

　　自助換卡業(yè)務起源于4G時代。2014年，中國移動4G用戶高速增長，為了改善用戶體驗，中國移動推出“兩不一快”服務：客戶采用不登記、不換號的方式，用4G USIM卡替換原SIM卡。中國移動免費向用戶寄出空白SIM卡，用戶通過裝有原SIM卡的手機主動發(fā)出短信即可完成換卡操作。該操作需要機主本人持原始SIM卡發(fā)出換卡請求，安全性很高。

　　但需要指出，由于中國移動各省公司自主設計業(yè)務模式，北京、上海、廣東等數(shù)個省市移動公司在開通短信自助換卡的同時，還開通了網(wǎng)上營業(yè)廳自助換卡、手機APP自助換卡流程。同時，各省的空白SIM卡不僅掌握在移動手中，諸多社會渠道也擁有發(fā)放的權(quán)利，甚至淘寶上也可以搜索到這類SIM卡，風險由此而來。

　　獵豹移動安全專家李鐵軍認為：“如果移動不緊急調(diào)整自助換卡業(yè)務和139郵箱短信收發(fā)業(yè)務，也許此類詐騙會很快泛濫全國。”他告訴記者，解決這個問題很簡單，“自助換卡必須二次確認，明確提示用戶換卡操作的事項；而139郵箱的短信，則應顯示‘這是來自XXX@@139郵箱的消息’。”增加這兩項提示內(nèi)容后，消費者被迷惑的可能性會大大降低。

　　據(jù)獵豹移動統(tǒng)計，國內(nèi)已經(jīng)存在大量泄露的銀行卡信息，李鐵軍介紹：“全國詐騙分子每天會嘗試登陸2000-3000個銀行卡，而且這些銀行卡都匹配著正確的身份證、手機號信息。”按照這一統(tǒng)計，每年遭到攻擊的銀行卡數(shù)量大概70-100萬左右，涉及金額接近約200億元。而如果這些詐騙分子通過這種手法將這些手機號碼換卡，這些銀行卡岌岌可危。