哎,小博客挂在腾讯云,最近发现腾讯云有安全逻辑风险。让我今夜无眠呀。夜未眠,欲哭无泪,又不知所措,无能为力。
腾讯云安全逻辑:
1.只能用邮箱或绑定的微信,QQ 登陆。
2.邮箱账号无法修改。
3.没有紧急冻结,限制访问等功能。
4.找回密码并不通过安全邮箱。
5.安全邮箱和手机号绑定完全是形同虚设。
起因:
以前注册的邮箱在去年的时候不用了,尝试更换未果,就更新了安全邮箱。上周服务器被挂马,折腾了一圈,今晚想登录腾讯云官网控制台突然提示密码错误。
使用绑定手机重置密码后发现重置密码链接发到了原登陆邮箱,而不是安全邮箱!!!
紧急联系电话客服,一番尝试得出以上结论,只能提交工单这种方式尝试:(提交工单内容,电话客服小伙子态度很好,却无能为力)
[腾讯科技] xxx:
1 )解绑原因:
2 )需要解绑的账号 ID:
3 )身份验证资料收集:1、已实名 a:个人认证:申请人手持身份证正+反面照片(申请人须与实名认证信息一致) 受理时间早上 9:00,在此期间不能冻结账号和限制登陆防护。
我觉得这完全是匪夷所思的安全逻辑,邮箱作为登陆用户名为啥不可以修改?那么安全邮箱起什么作用?绑定了手机号又起什么作用?
我只能祈祷今晚那个邮箱主人不要……
1
oovveeaarr 2019-08-11 03:02:33 +08:00
dnspod 同理。。
|
2
1981 2019-08-11 03:24:40 +08:00
不不不是我们多虑了,这个问题我提交过工单,给的回复业务逻辑没问题
|
3
hongmao21 OP 身份验证信息是提交在投诉建议的公共工单里面的…
早上电话回访被移动拦截了,我刚刚又打回去建议我再次提交投诉建议的工单…吐血 |
4
hongmao21 OP 二更:
最新进展,相关客服联系了我好几次,就是非要我补充手持身份证照片正反面的照片(必须要正面和反面身份证照片,问题是我管局备案都没提交过反面身份证信息,证明自己太难了)… 退而求其次,我要求先冻结登陆功能,然后刚才工单客服电话询问了几乎所有能询问的敏感信息了(注册时间,手机号,备案信息,安全邮箱,服务器区域,域名),然后确认通过,先暂停登陆了,后续再说吧。 我就有个疑问了,折腾十几个小时了,难道上面这些信息还不能确认本人操作?非要手持身份证正+反面照片,我还提议采用当时实名认证的微信关联授权验证啥的也不同意。 总之,这是真安全的系统,你们辛苦了,大家周末愉快…… |
5
SSyang 2019-08-11 15:55:28 +08:00
估计他们也是踩坑踩多了,互联网环境下大家都没有隐私,各种信息不知道被卖了多少手,我之前在 X 云上的账号就被盗过,实名认证都被修改了,他们这里起码能保住账号不会被人恶意霸占了。
|
6
hongmao21 OP …………………………刚刚结单,问题已解决…………………………
谢谢大家和跟进的客服。在使用收集、使用用户个人信息,应当遵循合法、正当、必要的原则。 |