博客挂在腾讯云,最近发现腾讯云有安全逻辑风险。
让我今夜无眠呀。夜未眠,欲哭无泪,又不知所措,还无能为力。
基于登陆用户邮箱不能修改,我认为腾讯云存在以下问题点。
腾讯云安全逻辑:
1.只能用邮箱或绑定的微信,QQ 登陆。
2.邮箱账号无法修改。
3.没有紧急冻结,限制访问等功能。
4.找回密码不通过安全邮箱。
5.安全邮箱和手机号绑定完全是形同虚设。
6.安全问题没有应急处理流程。
起因:
以前注册的邮箱在去年的时候不用了,尝试更换未果,就更新了安全邮箱。上周服务器被挂马,折腾了一圈,今晚想登录腾讯云官网控制台突然提示密码错误。
使用绑定手机重置密码后发现重置密码链接发到了原登陆邮箱,而不是安全邮箱!!!
紧急联系电话客服,一番尝试得出以上结论,只能提交工单这种方式尝试:(提交工单内容,电话客服小伙子态度很好,却无能为力)
[腾讯科技] xxx: 1 )解绑原因:
2 )需要解绑的账号 ID:
3 )身份验证资料收集:1、已实名 a:个人认证:申请人手持身份证正+反面照片(申请人须与实名认证信息一致)
(受理时间早上 8:00,在此期间不能冻结账号和限制登陆防护。)
我觉得这完全是匪夷所思的安全逻辑,邮箱作为登陆用户名为啥不可以修改?
那么安全邮箱起什么作用?
绑定了手机号又起什么作用?
我只能祈祷今晚那个邮箱主人不要……
—————————–
提交的身份验证等敏感信息是提交在投诉建议的公共工单里面的,这一点无力吐槽,为了尽快处理安全就不提了…
然后,早上8:50发现腾讯云回访电话075533216425被移动高频骚扰电话防护拦截了,
我刚刚又打回 腾讯云客服电话95716,经过漫长等待,客服建议我再次提交投诉建议的工单…吐血
好吧,现在还是等待……
这算不算腾讯云漏洞,腾讯云安全隐患,业务逻辑混乱,信息安全淡薄呢?
—————————–
最新进展,相关客服联系了我好几次,就是非要我补充手持身份证照片正反面的照片(必须要正面和反面身份证照片,问题是我管局备案都没提交过反面身份证信息,证明自己太难了)…
退而求其次,我要求先冻结登陆功能,然后刚才工单客服电话询问了几乎所有能询问的敏感信息了(注册时间,手机号,备案信息,安全邮箱,服务器区域,域名),然后确认通过,先暂停登陆了,后续再说吧。
我就有个疑问了,折腾十几个小时了,难道上面这些信息还不能确认本人操作?非要手持身份证正+反面照片,我还提议采用当时实名认证的微信关联授权验证啥的也不同意。
总之,这是真安全的系统,你们辛苦了,大家周末愉快……
