那天在群里聊天,有个老同学说自己的人人网账号被盗了,照片全被删了,气得他骂街。我一听这事儿,好奇心上来了:人人网客户端现在到底安不安全?我立马掏手机搜了下,决定自己动手试试。
我先下载了人人网App,苹果商店里一搜就有。安装完,刚点开注册页面,就让我输手机号和密码。我想着光凭密码能安全?干脆用个简单点的测试下。设置了个"123456"当密码,系统居然让过了,连个提示都没有。
测试登录环节,我找了个不常用的邮箱当账号。第一次登录,要求填验证码,输入后顺利进主页。接着想看看防护措施,转了一圈设置里——找半天才在一个小角落里看到"安全中心"。点进去一看,只有个修改密码选项。加什么短信验证?没找到!二次保护压根儿没影儿。
我又模拟个攻击场景:在电脑浏览器里装了个免费嗅探工具(别学我,纯测试)。人人网客户端传数据时,我抓包一看,密码居然是明文传输的?吓得我手一哆嗦。万一被黑客截了,账号不就裸奔了?接着试找回密码流程,填完手机号,直接甩来个新密码链接,连绑定邮箱都不核验。这不是送上门给坏人机会?
折腾完,我总结了下:账号防护跟闹着玩儿似的。客户端漏洞一堆——弱密码不拦着、登录没双保险、数据传输没加密。后来群里哥们也提了一嘴,说他被盗后找客服,结果来回踢皮球两周才恢复。
这事儿让我想起年前春节,回老家路上手机被人顺走了。里头绑了好几个社交账号,包括人人网的。补卡费半天劲,可账号里的留言和照片全乱了套——骗子趁机捣鬼,搞得亲戚们还以为我出啥事,急得上火。要不是这回测试看清门道,我还傻乎乎继续用。现在拉黑人人网客户端了,直接改用邮箱管理账号。真要玩啥社交,还是找靠谱平台!
