当一次简单的“猜数字游戏”就能打开陌生人的人生档案,我们依赖的便捷登录方式,正在成为隐私的坟场。
2026年1月22日,一项由新墨西哥大学、亚桑那大学、路易斯安那大学及Circle公司联合发布的重磅安全研究,揭露了一个波及数百万用户、隐藏在“便捷”之下的灾难性漏洞。广泛应用于保险、求职、家政服务等领域的短信(SMS)免密登录功能,因其脆弱的设计,正将海量用户的社会安全号、银行账户、信用评分等最敏感信息,置于“裸奔”状态。
01 漏洞核心:当“安全令牌”变成可预测的序列号
攻击原理(极简版):
您收到一条短信:“点击此链接登录您的保险账户:https://example.com/login?token=ABC123”。研究团队发现,在许多服务中,这个 token=ABC123 并非真正的随机数。
它可能只是简单递增的序列:ABC124、ABC125…… 或是基于时间的弱随机值。攻击者无需破解任何加密算法,只需像猜测连续的门牌号一样,通过脚本批量尝试修改链接末尾的字符(即“枚举攻击”),就能轻松撞入其他用户的账户。
(示意图:枚举攻击如同尝试一串连续的钥匙)
设计的彻底失败:
- 低熵(弱随机性)令牌:令牌生成算法过于简单,毫无安全性可言。
- 长期甚至永久有效:许多链接在数年甚至永久有效,一次泄露,终身风险。
- 点击即登录,无二次验证:用户点击链接后直接登录,无需密码或任何额外确认。
02 灾难性规模:3300万条短信背后的触目惊心
为了量化风险,研究团队分析了一个公共短信网关中超过 3300万条 真实短信,提取出 3.23亿个 独立URL。
核心发现令人不寒而栗:
- 177项 被识别使用短信链接登录的服务中。
- 125项(超过70%)的服务,其链接允许攻击者进行大规模有效枚举。
- 这意味着,任何一个从这些服务中获取的链接,都可能成为黑客遍历访问数百万用户账户的“起点”。
(示意图:漏洞影响范围极广)
泄露的数据类型包括但不限于:
- 完整的保险申请表(含SSN、住址、健康状况)
- 求职者的详细简历、薪资历史
- 银行账户信息与信用报告
- 家庭住址、家庭成员信息
正如论文第一作者Muhammad Danish所言:“尽管用户应避免向不可信来源提供信息,但此次名单中包括了拥有数百万活跃用户的知名服务商,这让普通用户几乎无从防范。”
03 行业沉默:仅有7家服务商修复漏洞
更令人担忧的是服务商的普遍漠视与迟缓反应。
- 研究团队尝试联系了150家受影响的提供商。
- 只有18家给予了回复。
- 最终,仅有 7家 真正修复了其系统中的这一根本性缺陷。
这种集体性的安全失职,将数百万用户长期暴露于风险之中,直至今天。
04 解决方案:从“魔术链接”到零信任架构
对于普通用户与服务提供商,行动刻不容缓。
给用户的紧急建议:
- 立即停用:对于提供短信链接登录的非关键服务,立即在账户设置中停用此功能,改为强密码+2FA。
- 警惕链接:永远不要点击来源不明的登录链接,即使是看似合法的服务。
- 优先使用替代方案:尽可能选择使用基于电子邮件“魔术链接”(Magic Link) 或正规OAuth(如“使用Google/Apple账号登录”)的服务。邮件系统本身通常有更好的安全基础和2FA选项。
给服务商(开发者)的修复蓝图:
- 使用高熵令牌:立即改用经密码学安全验证的随机数生成器(CSPRNG)来生成一次性令牌,确保其不可预测。
- 强制短时效:将令牌有效期缩短至15分钟或更短,并严格在单次使用后立即作废。
- 结合上下文验证:验证令牌时,必须同时校验用户会话、IP地址、用户代理等多个因素,大幅增加枚举和冒用的难度。
- 实施速率限制:对登录端点的请求实施严格的IP和账号级频率限制,使自动化枚举攻击无法进行。
05 【主机帮】防御视角:在应用层构建不可逾越的验证防线
对于企业而言,修复自身代码只是第一步。在应用层网关部署专业的Web应用防火墙(WAF),是防止此类逻辑漏洞被大规模利用的关键屏障。
我们的 百度云防护WAF 能够提供多维度防护:
- 智能频率控制与Bot管理:即使攻击者获取了可枚举的令牌模式,WAF也能通过精准的请求频率控制、人机识别(JS挑战) 和基于AI的行为分析,彻底阻断自动化枚举脚本的扫描,将其拒之门外。
- 自定义规则精准防护:您可以针对登录端点(如
/auth/link-login)创建自定义防护规则,对异常的、高频的、参数呈现规律性变化的请求进行实时拦截与告警。 - 保护您的“魔术链接”服务:如果您已转向更安全的邮箱魔术链接方案,WAF同样能为您的邮件服务登录页面提供保护,防止凭证填充、撞库等攻击。
核心产品联动建议:
身份验证流程的安全,始于安全的通信管道。无论您采用何种登录方式,首要前提是确保整个通信过程不可被窃听与篡改。
- 强制全站HTTPS:为您所有的登录、API及用户服务页面部署有效的 SSL证书,这是防止令牌在传输中被中间人截获的基石。
- 构建零信任接入点:将您的用户登录门户、API网关部署于具备云WAF防护的安全环境中,对所有传入的登录请求进行“初次面试”,过滤掉恶意流量,减轻后端业务系统的安全压力。
便捷,不应以安全为代价。在数字身份即一切的时代,脆弱的登录设计无异于将家门钥匙挂在公共场所。
此次研究敲响了警钟:一个微小的设计疏漏,足以引发席卷数百万人的隐私海啸。对于企业,是时候重新审计所有身份验证流程了;对于个人,是时候重新审视那些“方便”的登录习惯了。
立即检查您所依赖的服务,并为您企业的登录门户加固安全防线。我们随时准备为您提供专业的安全评估与WAF防护方案。
