如何看待@曹一聪《小米短信同步缺陷让父母银行卡被盗十万元》的文章?

@陈德碧 提供了截图 zhuanlan.zhihu.com/p/22
关注者
708
被浏览
68103
事实真相逐渐浮出水面


不友善用户,就别怪我咯





我们来删除各种倾向性,带有感情色彩的描述,把这事理理

1.该用户的小米帐户,被他人登陆到其他小米设备
2.小米通过下发短信,通知用户该帐户在其他小米设备登陆
3.同时,被他人登陆的设备,开始同步小米账号内所有信息
4.该用户银行卡被提款
5.该用户被贷款

通过1可知,该用户小米账号,和密码被他人知晓
通过2可知,小米第一时间发现登陆行为,并告知用户(补充,通知短信大意为:该账户在其他设备登陆,会同步手机联系人、相册等内容,如非本人操作,请XXOO)
通过3可知,该用户没有做什么
通过4可知,该用户泄露的信息应该还包括他的银行卡卡号
通过5可知,该用户泄露的信息应该还包括他的个人信息,例如身份证正反照,对应银行卡持有者照片

然而在那位用户的文章中,我们只看见了他说小米安全机制有问题。。。恩,对。。。


还有说小米2012年被脱裤了,小米没有保管好用户的账号密码。。。
MIUI论坛和xiaomi在当年爆出脱裤之后,就强制用户修改过密码,而且提醒了,为了数据安全,请使用独一无二的密码。。。
2012年之后,没有公开资料显示小米被拖过库


似乎在那位用户后序更新的内容来看,他父母小米账号的密码,出现在社工库当中。。。
这就两个问题了,如果是2012之前注册的小米,当年被脱裤泄露出去的,后序小米要求修改过密码,如果是2012年之后注册的小米账号,目前来看小米没有再被拖过库。

密码为何还是泄露了呢?一般的社工库应该可以看见泄漏源。。。然而该用户并未提及


所以,我的看法就是,该文作者貌似有意无意隐藏了不少对自己不利的信息。。。

从结果来看,这锅要背,是有先后顺序的:

泄露个人身份信息>>泄露银行卡信息>泄露银行卡验证短信=泄露小米账号密码


再顺着往下说

小米开起登陆二次验证好不好?
肯定好,无脑好,因为人家苹果就这样的啊。。。

可是这就能证明小米目前的,账号密码登陆就不好么?
厄。。。逻辑不通吧