近日，一篇以前的旧文在朋友圈热传，让不少网友大惊失色：过去丢手机，可能损失的只是一部手机的钱；如今丢了手机，可能搭上“全部身家”，甚至因此背上贷款。

手机成了“万能钥匙”

引发热议的这篇旧文，是一位自称信息安全专家“老骆驼”的人，根据自己的经历写成的。手机被盗后，黑色产业链利用个人信息来盗取手机银行、各App账户资金，用被盗者身份在网贷平台贷款。

这一案例的特殊性在于，“老骆驼”本身对信息安全有所研究，因此不断和盗窃团伙斗智斗勇。但从中，也暴露了个别App、银行和互联网平台的安全漏洞。像“老骆驼”这样的专业人士在家人丢失手机后都疲于应对，我们这些普通人岂不是任网络黑产“宰割”的小绵羊？

据相关机构最新数据显示，截至2020 年6 月份，国内网民规模9.4 亿，其中手机网民数量已经突破9 亿。正因如此，手机丢失引发的安全隐患才会屡次成为舆论热点。

据悉，“老骆驼”手机丢失后，通过手机中的App，黑产组织获取了大量个人信息，包括身份证号码、银行卡号等。更尴尬的是，在“老骆驼”机主本人口头挂失手机卡后，网络黑产组织竟骗取了运营商的信任，顺利解除了机主本人的临时挂失。于是，“挂失—解挂—挂失—解挂……”的循环进行了“来来回回几十次”。

解除挂失后，“老骆驼”的手机号可以正常使用。于是，黑产组织使用“老骆驼”的身份证信息在多个平台开户，并且在各个平台申请了数目不等的贷款。

从网文揭露的情况看，手机盗窃者早就不再满足于把偷来的手机刷机，然后卖给二手市场，而是通过手机作出一连串的资金盗窃行为，而且在和被盗者拼手速、拼耐力。

虽然SIM 卡、银行卡、支付平台等可以申请冻结，但由于一些网贷平台简单依靠个人信息即可贷款，甚至冻结也可以靠个人信息解冻，所以，掌握了个人信息的盗窃者犹如掌握了“万能钥匙”，令人防不胜防。

这些年，很多银行和互联网平台，也都在寻求便捷性和安全性之间的平衡。但便捷是加分项，安全是必答题；安全是“1”，便捷是后面的“0”，没有安全的便捷，只会让一些违法分子钻了漏洞。

面对愈加熟练和专业的网络黑产组织，不能指望每个人都成“老骆驼”，在消费者提高安全意识之外，银行和互联网平台显然要承担更多的责任。

系统认人还是认信息

从“老骆驼”与网络黑产博弈的过程来看，相关银行和一些互联网平台存在一些安全漏洞，其中一个核心问题是，当个人信息暴露后，该如何辨别操作者是否是本人，也就是说，系统认人还是认信息？

对此，相关运营商客服处接受媒体采访时表示，如需解除挂失，可以联系客服提供登录电信网上营业厅的密码，或者机主姓名和身份证号码+上月拨打的三个通话号码进行操作。

然而，“老骆驼”丢失的电信号码被挂失后，确实被解除了挂失，合理的解释就是黑产组织利用获取的个人信息成功进行了解除挂失。显然，电信运营商的挂失和解挂流程是有一些漏洞的。要想给消费者提供一个安全的手机号码挂失功能，运营商需要梳理挂失的每一个环节，并且要增加更全面的身份验证手段。

移动支付平台同样也有安全漏洞。比如，这次“老骆驼”手机丢失后，网络黑产重新注册了某支付平台账号，并关联了手机卡。对此，官方的回应称，黑产分子并没有突破人脸识别，能注册新号是通过其他渠道已掌握的身份信息和短信验证码，在常用设备上实现的。

从表面来看，官方的回应没有不妥。可是，从技术角度来说，在常用设备上使用支付工具不需要人脸识别，这同样是一个安全漏洞，意味着“个人信息”可以代替“本人”进行操作；而系统则无法判断注册账号的人是黑产分子还是本人。

设置“一揽子的解决方案”

事实上，无论是银行还是互联网平台，很难达到“尽善尽美”，对此公众也能理解。网络黑客、黑产的技术也会不断迭代、不断去挖掘新的漏洞；但“魔高一尺”，就要“道高一丈”，相关方面有必要根据新的犯罪特点去不断修补Bug（缺陷漏洞）——守护好用户的“钱袋子”是任何时候都不能推卸的责任。

另外，对于这类问题，相关平台不妨设置“一揽子的解决方案”，让用户以简单的办法来给保险箱上一把锁，而不是到处去上锁。

例如，当用户的SIM 卡挂失后，说明相关信息已经暴露，此时与手机号码相关的任何业务如支付平台、手机银行、网贷平台等，都不妨设置异常提示，此时便不宜采取身份证号、手机验证码等单一信息验证的方式，而是要用能够证明是本人的方式或是用线下的方式来验证。