手机号注销后,微博、游戏账号照样登录!如何更安全地给手机销号

很多人把自己不再使用的手机号注销掉,这看似很正常的行为若处理不当会引发一系列后果。

近日,“注销手机号等于出卖自己”被推向热搜,引发了广泛的关注。在网络实名制的当下,手机号码是很多App认证登录通行证,而运营商回收再利用这些号码给新老用户都会带来不少困扰,有的甚至带来隐私泄露或财产损失,更多的人经常收到一些莫名其妙的“垃圾信息”。

用户注销手机号后被运营商循环再利用,号码会投入号码池放号给新用户,这在运营商内部被称为“二次放号”。尽管在“二次放号”前有长达90天以上的冻结期,但“二次放号”存在的一些漏洞依然让很多人深受困扰。

“二次放号”带来的困扰

李明(化名)一年前从上海搬到广州生活,为了通信方便,他办理了一个广州本地的手机号码。他的新号码启用后陆续收到了原来手机号码主人一次一次欠款催收的信息,这让他心里有点膈应。李明说现在都不常用这些号了。

不仅仅是垃圾信息,李明试着用这个号码登录微博等社交账号,可以看到前主人在社交媒体上关注的内容

与李明的情况类似的话,霓儿(化名)夫妇两人的手机号都是“二次放号”的号码。

“我老公手机号可以登录到前主人的微博上,我的手机号码经常能收到前手机主人他坐什么飞机,什么时候落地,扣了多少钱等信息,我哪怕退订了,还会一直收到。”霓儿表示两人的手机不是一家运营商,但都中招了“二次放号”。

岳女士的情况则更为复杂,她用自己的身份证办理了一张手机附属卡给自己的父亲使用,儿子在玩外公手机时,成功注册了某个游戏账号,并消费了600元。由于孩子是未成年,这让她觉得很奇怪。

岳女士表示,她向这家游戏公司说明了孩子是未成年,不可能有账号后,这家上海本地游戏公司通过查询核实后告知她,手机号码匹配的是前手机号码主人的游戏账号。她找了多个平台投诉,但至今仍然没有把这笔消费要回来。

从上述这些案例可以看出,“二次放号”确实给新用户带来了诸多困扰。

日前,之前引发热议的“注销手机号等于出卖自己”,主要是指前用户随手丢弃或注销手机号,可能引发隐私泄露风险或财产损失。

从“二次放号”新用户反馈看,通过手机号码可以轻易登录前用户的社交账号。如果前用户在支付环节有设置免密支付,则可能造成一定的经济损失。

“注销手机号”的正确姿势

既然“注销手机号”有诸多风险,那么在注销手机号前后需要做哪些步骤才能确保安全注销手机号。

电信运营商客服的建议是用户在注销手机号码前需要自行解绑App,运营商是没有权利去帮助用户解绑的。同时,如果用户在注销手机号后发现未解绑App账号,运营商也可以协助帮忙解绑。

由于App众多,很多用户自己也记不清楚到底注册了多少家App。之前,工信部正式推出“一证通查2.0”服务——全国互联网账号“一证通查”,用户凭借手机号码和身份证号码后六位,便可查询本人名下手机号码关联的互联网账号数量。

澎湃新闻记者也尝试了一下“一证通查”服务,提交申请后几分钟就有查询结果通过短信方式发到手机上。

但需要指出的是,目前“一证通查2.0”服务只有十多家头部App接入,其他众多App注册账号信息是无法查询的。

独立电信分析师付亮也指出,目前“一证通查”仅支持16个头部应用。从使用量来看,这16个头部应用几乎可以占到所有App使用量的95%以上;但这些应用在App总量中的占比很低。加上很多用户注册某些应用后就几乎很少登录,难以统计个人号码绑定的App。

付亮还进一步指出,其他公司的App,验证码并不是电信运营商发出的,运营商只是提供了短信通道,电信运营商也不知道用户究竟用“手机号+验证码”注册了多少个网站,都是哪些网站。更要命的是,并不是所有App均支持注册用户注销,有关部门有明确规定,头部企业也执行得很好,但对海量的“长尾”应用来说,就不一定了。

所以,解绑App这件事,主要靠用户自己来解决,其他方有一定的技术手段,但无法解决所有问题。

各大App厂商能做什么?

手机号+短信验证是各大App登录都接受的方式,那么,目前App厂商到底有没有相关措施来限制“二次放号”用户登录前用户的账号呢?

澎湃新闻记者也询问微博客服有关“二次放号”用户识别问题。相关客服人员表示,如果有这种情况(二次放号登录账号),还是优先换绑手机号。客服介绍,微博绑手机号有两种方式,一种是单纯的绑定,可以用手机号登录。另一种是为了验证而绑定手机号,比如,用于平时改密码的验证程序,但是没办法直接用手机号登录账号。如果是第二种情况,即使第二任机主用了前机主的手机号,也无法登录该账号。

另外,据澎湃记者了解,如果用户微博账号长期未使用,系统会认为该账号存在安全隐患,自动设置保护状态。用户在登录账号时,页面可能会出现“该账号长期未使用,已处于保护状态”的提示。需要用户在登录页面输入账号密码后,根据页面提示进行账号激活或重新注册新账号使用。

但目前“长期未使用”的具体时间未知,但应该超过了“二次放号”冷冻期90天,否则也不会出现多位“二次放号”用户反映可以登录前机主的微博账号情况。

有的App能够自动识别是否为“二次放号”手机号登录。当澎湃新闻记者尝试用手机号+验证码方式登录百度App时,页面提示“检测到手机号为运营商二次售卖手机号,绑定了可能不属于您的手机号”,并提供了解绑的入口。若用户坚持继续登录账号,页面会要求用户进行二次验证,比如邮箱验证、账号密码登录、补全用户名完整信息验证身份等。

如果说社交网络主要涉及隐私问题,而带有支付功能的App在“二次放号”问题上可能给用户带来财产损失。当然,像京东、淘宝、微信在资金支付阶段都需要再次输入支付密码,除非小额的免密支付外,大额交易还需要密码确认。

淘宝也是高频率使用的App之一。对于“二次放号”用户登录如何识别?淘宝方面回复称,第一种情况是经过运营商接口的手机号都会打标,当用户登录时会引导用户重新注册。第二种情况,如果没有过运营商接口,会出现小概率因为二次放号误登他人账号的问题,目前平台还会对上一任淘宝账号用户,主动推送绑定手机已失效,建议换绑的安全提醒。

熟悉微信的人士告诉澎湃新闻记者,手机号“二次放号”,不会简单导致微信号被陌生人登录。当微信在陌生设备上登录时,需要进行二次验证,验证方法一是“使用原设备扫码”,验证方法二是“请朋友帮忙验证”。所以,运营商二次放号,新用户无法通过短信验证码的方式直接登录老用户注册的微信号。

熟悉QQ的人士表示,若QQ在陌生设备上登录,会触发二次验证,只有继续验证QQ密码或者其他信息才能成功登录。因此,运营商二次放号不会导致QQ被新用户登录。腾讯方面也表示,腾讯其他项目,包括游戏这种,都是要通过微信或是QQ登录的,凭借手机号是无法登录。

4月22日,米哈游客服告诉澎湃新闻记者,对于手机号“二次放号”的风险,米哈游建议玩家在手机号注销后,及时进行手机号换绑,“如果不换绑手机号,可能确实会存在一定的账号安全风险。”

“二次放号”必须有?如何进一步完善?

据了解,由于运营商的号码资源有限,回收号码再利用是全球运营商的通行做法。

中国由于人口众多,号码资源更为紧张,三大运营商一直回收手机号码进行“二次放号”。

根据《电信条例》和《电信服务规范》的规定:用户在欠费30日内未交费的,电信服务商可暂停相关服务,即“停机”;在停机后60日内仍未交费的,可终止服务,即号码注销;号码注销后至重新启用(二次放号)的时间至少为90日,称为“冻结时限”,时限过后号码即可再次放出。可见“二次放号”符合相关法规。

不过,用户在前往运营商处选购手机号时运营商工作人员不会告知这是否是“二次放号”的号码。事实上,分辨卡号是否为“二次放号”很难。

上海大邦律师事务所高级合伙人游云庭接受澎湃新闻记者采访时表示:“这其实是制度设计上的漏洞。”

游云庭表示,现在需要实名的地方很多,如果你有了手机号,就默认你是实名的用户了,这导致“二次放号”出现诸多问题的根源之一。此外,目前还没有一个一键解绑的通道,前期系统没有加这个功能,后期再加的话问题就比较多。

“其实要解决这个问题,运营商的责任是逃不掉的,相关部门也需要去抓这个问题,为什么发个手机验证码就是实名呢?另外,工信部应该有一个注销手机号的规范。这样如果手机号易主的话,相关的服务应该自动停掉。”游云庭认为,如果可以的话,暂停“二次放号”,虽然运营商损失了一些号码资源,但对用户来说是一种保护。

付亮针对管理部门有三点建议:第一,充分认识到安全级别的强弱,“身份证号、姓名、活体”高于“身份证号+姓名+手机验证码”,更高于“手机号+验证码”,前者更安全,能为后者“背书”,后者不能为前者背书。“手机号+验证码”可用于实名制登录,但不能用于支付环节的安全验证。第二,强化App的异常判定。手机号注销后的静默期,都在App判定为异常。在主流App软件登录验证环节,强制要求增加登录异常判定。判定异常时,应采用比“手机号+验证码”更安全的强化安全验证。第三,减小网络实名制的范围,尽可能避免没有管理能力的团队拿到用户的实名信息。