腾讯微信惊天漏洞，利用手机号致帐号丢失无法找回！——论个人信息安全与防护

郑重声明：本文所述内容只用于学习交流，请勿用于任何违法用途。也请大家提高警惕，尽早提高自己的安全等级，避免悲剧的发生。本文只描述客观事实，不对发生的任何主观恶意攻击所造成的损失负责。

本文禁止转载

博客地址 http://blog.csdn.net/foxdave

安全好用的Office 365知识库

本文写于今日下午2点多，没有立即发是因为本屌向乌云先反馈了一下（本屌一直觉得乌云非常牛逼，很希望能有一个账户，无奈本屌太水），但是却没有通过审核，可能本屌的表达能力有限。。。所以我就直接发出来了。

==================================================================================================

首先好吧，本屌承认有些标题党了。。。而且这个问题绝对不是本屌第一个发现的，只是亲身经历之后想要记录一下。

 

背景

本屌先把事情的背景描述一下：

去年的时候新买了个手机号，看着微商什么的最近挺火，但是用自己的微信发来发去的觉得很不好，遂决定用这个手机号注册个微信以备用，万一我业余的时候也走上这条路了呢。

 

问题导火索

打开微信，用手机号进行注册，接收验证码填写完毕之后，提示此手机号已被绑定，选择“否，继续注册”就无法进行下去了。

于是本屌致电微信客服，客服说需要提交截图证明手机的入网时间（当写到这里的时候想到这里也很不严谨，只这一个截图的话，如果某个人的手机号的服务密码泄漏了，那一样是危险的。）。但是在电脑上登录网站之后，用户那里显示的是姓名并不是手机号，虽能查看入网时间，但是客服坚持截图不能用作证明并且不愿意为本屌等待过多时间，与客服沟通多次，尝试多部分截图、缴费记录截图等，未遂，就是不给解绑，虽然他也是按规定办事，但实在是太死性。（正好这里吐槽下腾讯的客服，微信客服还好了，在线的腾讯客服简直就是渣！）

 

发现Bug

本屌的小暴脾气，既然客服不给操作，那就自己尝试看看，没想到还真把微信号拿下了。具体尝试过程不表，以下只描述具体核心操作步骤。

密码忘了，只有手机号，没有对方的微信号等其他任何信息，但我就是硬生生地登录了对方的微信。

过程比较简单我就不废话了，直接看图吧！

看到了没有？！接收了验证码之后直接修改密码就登录了好吗？！那之前本屌等了20分钟挤进微信热线最后被告知无法解绑的意义何在？！如果想帮本屌的手机号解绑，买个黑卡替换掉就行了，当然本屌没有这么做，因为后来在手机APP上找到了号码的相关图片证明，遂又致电微信热线解除了绑定。而这个微信号呢？什么都没有了，完全掌握在本屌的手中，就跟死号一样，本屌已经联系了微信的主人取回微信。

 

安全总结

本屌的手机号是运营商二次发号购买的，不废话；

微信对于这个问题怎么看，是否修改它的逻辑，也不是你我能说了算的，不废话；

最重要的就是我们每个人从自己做起了（很大一部分安全问题都是由于个人的疏忽导致的）：

1. 保管好自己的手机和手机号，不要将验证码发给任何人。

2. 查看自己的微信号、支付宝帐号（支付宝也看一下吧，万一也这样呢），甚至包括你的银行卡帐号上面捆绑的手机好是不是自己的，不是自己的马上更换。

3. 不要将你的个人信息轻易地暴露给任何人，虽然很可能你的个人信息已经很容易在网上搜到了。

如果有遗漏欢迎补充，留言即可，本屌会一一回复。

==================================================================================================

 

郑重声明：本文所述内容只用于学习交流，请勿用于任何违法用途。也请大家提高警惕，尽早提高自己的安全等级，避免悲剧的发生。本文只描述客观事实，不对发生的任何主观恶意攻击所造成的损失负责。

本文禁止转载