本人喜欢有空看看晋江网文,最近年尾比较忙,没怎么打开晋江,结果昨天打开的时候,突然提示我账号异常,然后我怀疑是被盗号了,进行申诉后重新登录,发现自己花钱买的晋江币几乎被盗号者清空!
1. 异常行为监测不到位
回看购买记录,盗号者一共盗刷了我【11845】晋江币,折合人民币【118.45】元,并且都是一天之内多次购买不同的文,而这些文的阅读进度全都是0%,极有可能为了刷订阅之类,那么这些文的作者的成绩是存疑的,很可能涉嫌购买了刷榜之类的服务。
然后我查了一下网上,许多被盗号的读者都有类似遭遇!
基于这样的阅读行为,晋江竟然没有做异常行为监测,从而排查作者的违规行为,做出对应处罚,并及时发现可疑消费,冻结账户,避免更大损失。
2. 异地登录不提醒,被盗后,原登录不退出
我承认自己不够严谨,使用了重复密码,增加了被盗号的风险,是有责任的,但是晋江的账户安全真的太儿戏了!
登录日志可见,10月11日出现连续不同端的异地登录,我竟未收到任何异常消息提醒。
11月06日盗号者也异地尝试登录,我也没收到异常提醒
直到12月15日,盗号者连续多次异地登录,把钱花光。
12月16日晚上,我终于有空打开晋江,提示账号异常登录不了,这个异常是【定义我是异常用户】!真的很可笑!
这么简单的行为监测都没有,获取用户登录地方对比是否一致,不一致时发送短信或邮件进行异常提醒,功能实现很简单,而注册的时候手机号和邮箱都留了的,估计晋江省钱,懒得开发这个功能吧!
然后在细看一下,10月11号,我的账户就被异地登录被盗了!而我手机端晋江依旧处于登录状态,可以打开!
我简直大无语!晋江竟然【没有做登录状态失效处理】!即账号只要账号密码对,就可以随时随地同时登录!
正常情况下,移动端应该只能有一个登录状态有效,即便换新手机,用账号密码登录,那么旧的登录状态置为失效,用户在原登录的手机再次打开时就会被强制退出登录。
而且,晋江不同端如web端另外登录,若不开启安全保护,竟然不需做任何验证就能成功登录!
这导致我未发现登录异常,以为自己看文买文多,晋江币一下就用完了!
若有做登录状态失效处理,那么当盗号者登录了我的账号,我就会强制退出,会意识到不对劲,去看看日志,或许就发现被盗号,及时修改密码,开启账号安全保护,避免更大的损失。
然而没有,于是我傻傻地继续充值看文,最近比较忙,没空看晋江,直到12月16日打开显示账户异常无法登录才意识到被盗号,申诉再次登录后晋江币几乎被盗刷完,损失加倍!
3. 安全设置形同虚设,需手动开启才生效
被盗号后,我在开通各种安全保护的过程中,越发觉得晋江态度傲慢。
明明有那么多安全验证设置,却一点提醒也没有,全得用户自己手动开启才生效,等于平台有很多隐秘的安全措施,用户你们自己看着办。
我咨询客服,回复的意思就是假如你没开启账号安全保护,发生盗号的损失属于个人责任。如果有重大金额损失请自行报警处理。
非常好,免责声明妥妥的!平台这样的态度是极其不负责的!
用户未设置账号安全保护也需及时提醒,这也是平台的义务!
就像个税APP,许久没登录,再次登录时至少人家提醒你修改密码!
win10系统也会定时提醒你修改电脑密码!
晋江在登录逻辑存在巨大安全漏洞的情况下,依旧保持沉默,一个提醒都没有!
4. 晋江账户安全就是笑话
晋江平台存在明显漏洞才给了盗号者可乘之机
- 对于多次购买且阅读进度为0%的异常行为未监测
- 异地登录不提醒
- 被盗后,原登录不退出,导致不能及时发现
- 安全设置形同虚设,需手动开启才能生效,并在登录逻辑有问题的情况,没有履行及时提醒的义务
许多被盗号的读者都有类似情况出现,而晋江不是及时处理,而是置之不理。
晋江平台有严重的安全漏洞过失!
世界真是个巨大的草台班子!晋江文学城作为网文界女频的扛把子,大量读者用微信或支付宝充值购买服务,流水账肯定不少,结果账户安全方面竟如此草率,存在如此大的安全漏洞!说出去都难以置信!同行程序员听了都得笑话!