9 月 6 日晚，萬茜知乎賬號(hào)點(diǎn)贊了郁可唯和寧靜的惡評，引起網(wǎng)友熱議。IT之家了解到，該惡評稱，郁可唯和寧靜兩個(gè)人都挺煩的，寧靜是黑洞，能讓身邊的王者不敢發(fā)光，只想自己發(fā)光。

隨后萬茜解釋稱被盜號(hào)，并向波及到的姐姐們表示歉意。

對此，阿里巴巴安全部 @知安局 在知乎回答如何看待此事時(shí)表示，萬茜通過盜號(hào)聲明，把鍋安排給了盜號(hào)者和知乎的程序猿。只要平臺(tái)沒有明顯的漏洞，盜號(hào)的概率是非常低的，查詢登錄日志就可以快速判斷是否被盜。

阿里巴巴安全部稱，一個(gè)賬號(hào)的核心安全屬性主要是兩個(gè)，即登錄設(shè)備和 IP 地址。經(jīng)常登錄的設(shè)備和 IP，一般會(huì)被平臺(tái)默認(rèn)為可信設(shè)備及地址。因此，判斷一個(gè)賬號(hào)是否被盜，只需要看這個(gè)賬號(hào)在自己未知情況下，是否在非可信設(shè)備和 IP 地址下登錄了。這個(gè)可以快速的從后臺(tái)的賬號(hào)登錄日志里查詢到。

那不法分子一般是怎么盜號(hào)的呢?主要有兩種方式：

第一種是通過無差別撞庫的形式，去盜取用戶的賬號(hào)和密碼。這種方式的特點(diǎn)是目標(biāo)不明確，通常是批量性地去撞庫一批賬號(hào)，然后找到其中可用來盈利的賬號(hào)。

第二種是不法分子通過詐騙的方式誘導(dǎo)用戶登錄在他們提供的設(shè)備上或騙取用戶的賬號(hào)密碼及短信驗(yàn)證碼。比如，有些不法分子聲稱掃碼可領(lǐng)紅包，對于安全意識(shí)比較低的人群而言，掃碼確認(rèn)的時(shí)候，就已經(jīng)在不法分子手里的設(shè)備上登錄了。

對于這些賬號(hào)攻擊行為，互聯(lián)網(wǎng)平臺(tái)都會(huì)設(shè)置安全防護(hù)措施。比如，針對第一種撞庫行為，平臺(tái)可以通過設(shè)置風(fēng)控模型，把絕大部分可疑的流量擋在平臺(tái)外面，這種情況可疑篩選掉大部分的惡意賬號(hào)攻擊行為。對于第二種，大部分互聯(lián)網(wǎng)公司都會(huì)在業(yè)務(wù)策略層面實(shí)行 “非可信驗(yàn)證”。

阿里巴巴安全部還提供了一些小 tips，教大家如何保證自己的賬號(hào)安全：

賬號(hào)密碼的復(fù)雜度盡量高一些，不要設(shè)置弱口令，最近涼山州中考志愿填報(bào)系統(tǒng)被學(xué)生攻破就是教訓(xùn);不要在不常見的網(wǎng)站上登錄自己的微信、微博及支付寶等賬號(hào)，否則很有可能被這些網(wǎng)站采集到賬密;不同平臺(tái)的賬號(hào)，不要使用同一個(gè)或相近密碼，否則被撞庫的可能性很大;手機(jī)短信驗(yàn)證碼不要透露給其他人，尤其是陌生人;不要把賬號(hào)借給不熟悉的人使用。

關(guān)鍵詞： 阿里巴巴 萬茜 點(diǎn)贊