2015年7月27日登錄淘寶發現無法登錄,找回密碼的時候發現淘寶賬號綁定的手機和保密郵箱都被換了。在淘寶網申請人工找回密碼失敗,打淘寶客服電話0571-88158198找回密碼失敗,提示如下:
【淘寶網】很抱歉,信息核實不通過無法修改賬戶綁定信息。 如您原綁定手機停用需修改,請您仔細回憶賬戶信息后,點擊淘寶網頁右上方“聯系客服—自助服務—申請人工審核—立即開始”申請人工審核更換手機。
淘寶客服讓我重新申請個號,我不願意,她讓我打支付寶電話95188,驗證身份后綁定了手機和保密郵箱,並與淘寶賬號進行了重新綁定,大約兩小時后給我發了短信,讓我驗證保密郵箱,驗證后我在淘寶網找回密碼,重新綁定了手機和保密郵箱,完善了支付寶得相關安全設置。上號后發現盜號的把我免密支付的支付寶錢包里的錢全部轉走了,而且還買了不少東西,有幾個東西還在物流途中,我就點了申請退款。看了下收貨地址:江蘇省徐州市新沂市新安街道輕工路東40巷16號 陳陽 郵編221400,手機13225259007。
7月28日,手機突然接到短信:
【阿里巴巴集團】您已修改手機,186********的帳戶服務已停止。如有疑問,請致電客服。
我知道盜號的正在取消我的手機綁定,然后上號通過身份證+手機驗證碼找回密碼,取消他綁定的131****707的手機綁定,過程中他也在重置密碼,於是我開啟了登錄保護,淘寶網登錄的時候必須同時輸入手機驗證碼才能登錄。
那么問題來了:
1.我找回密碼后,已經綁定好了自己的手機和保密郵箱,那么盜號的是怎么能夠添加綁定的手機號的?猜測他是通過在淘寶網上找回密碼的時候提交人工審核,或者是打淘寶客服電話增加綁定的手機號,那么淘寶客服無形中是在幫了盜號的忙。
2.我取消了他的手機綁定,重置密碼后,他也能夠再次重置密碼,那么是不是因為短信驗證碼的時效性太長了?15分鍾盜號的能夠做很多事情。
3.我給支付寶客服打電話,提交了轉賬的異常交易流水號,他們很快就鎖定了轉入轉出的支付寶賬號,既然知道了支付寶賬號,支付寶為什么不采取措施直接凍結盜號的支付寶賬號?
4.淘寶客服說手機一旦綁定就不能取消,只能更換綁定的手機號,那么找回密碼的時候為什么能夠在自己的手機和盜號的手機和常用手機號中三選一?能夠同時綁定兩個手機號?工商銀行曾經碰到這樣的問題,注銷的手機號被人重新使用后造成賬戶被盜,后來工行e支付只允許綁定一個手機號。淘寶肯定也意識到淘寶賬號存在安全漏洞,所以強迫用戶必須綁定手機號,然而這又帶來了新的問題,如果手機丟了,就等於淘寶賬號丟了,因為撿到手機的人只需要手機驗證碼和身份證號就能輕松找回密碼,身份證號能夠從一些購票軟件中提取出來,也就是說,不需要任何的安全問題,姓名什么的就能重置密碼,支付寶又是和手機綁定的,支付寶也就丟了,免密支付和快捷支付的錢也就會丟。
5.淘寶網的密碼采用的是直接鍵盤輸入,沒有象網銀那樣采用加密的動態鍵盤,本身就存在安全隱患,這也就罷了,但是淘寶賬戶在瀏覽器登錄后默認保存賬戶名和密碼的,瀏覽器退出后也不清空,這會造成在賓館網吧等環境登錄過的會有被盜的風險。事實上我回頭看了下保密郵箱,早在一個月前淘寶網就給我郵箱發信稱可能存在異常登錄現象,我曾經在賓館和自己的電腦網頁版都登陸過,是中了木馬的原因還是淘寶網體系本身有安全漏洞,沒人能夠說清楚,因為盜號的在暗處,我們在明處,他們別有用心地采取什么手段,一般用戶真是防不勝防。
從這次號被盜的經歷來看,淘寶網運轉換體系的安全性以及對於盜號的后續處理真的有待提高。
搜索了下淘寶號被盜的經歷,大都類似。
第一次被盜可能是因為中了木馬或者釣魚網站,身份證號碼肯定是被盜號的取得了。
那么第二次被盜就是淘寶的問題了,因為淘寶找回密碼的時候有個選擇項:交易中常使用的手機,然后輸入盜號的手機+身份證號就行了。
還有個可能就是通過人工服務找回,需要提供的資料稍微多點。
我通過淘寶在線客服反饋,並且在淘寶反饋問卷上反饋,https://ur.taobao.com/survey/view.htm?spm=0.0.0.0.NmGBI9&id=1703
2015年8月12日,試了下找回密碼,淘寶網已經取消了通過“常用手機號”找回密碼的方式,如下圖:
