近来，一篇网络文章受广泛关注：一名网友叙述了家人手机遭盗窃后“被消费”“被贷款”的遭遇。记者发现，虽然这是一起偶发事件，但暴露出一系列涉及公民个人信息和财产安全的漏洞。据了解，案件正在进一步调查中。  

手机失窃，被不法分子盗刷多笔用于消费和贷款

据网民“信息安全老骆驼”称，其家人手机失窃后，不法分子利用电信、金融、支付等机构以及互联网金融平台的安全漏洞，新建账户绑定银行卡，几个小时内，便在线办理了贷款，并进行多笔消费。不法分子是如何利用手机盗取资金的？

“信息安全老骆驼”向记者复盘了遭遇“盗刷”的全过程：不法分子取出机主手机卡，将之安装在自己的手机上，通过短信校验的方式，登录了某政务平台APP，由此获取了机主的姓名、身份证号、银行卡号等关键个人信息。通过这些关键信息及校验短信，进行服务密码重置，掌握了对手机卡的主动控制权。此后，在支付宝、财付通、苏宁易付宝、京东支付等开立了新账户，绑定机主的银行卡进行消费，并在美团平台申请贷款，造成机主经济损失。

整个过程中，登录政务平台APP获取关键信息、绑定银行卡、贷款消费等操作，都是凭借手机短信验证码顺利通关。专家解释，在电话卡未挂失的近两个小时，由于掌握了机主个人关键信息，不法分子通过手机在线服务，对服务密码进行了重置。

机主遭遇暴露手机信息安全和支付安全漏洞

这一网民的遭遇暴露出手机信息安全和支付安全的多个漏洞。

电话卡解除挂失等安全机制有待升级。多位业内人士表示，虽然机主手机被盗后未及时挂失电话卡，让不法分子钻了空子，但电信企业的服务密码重置和解挂失等业务规则是否完善、是否充分考虑了机主手机丢失的可能性，值得探讨。

校验手段普遍不足，风控水平参差不齐。记者调查发现，不少金融平台和支付机构开立账户或绑定银行卡的流程较为简单，一些机构在授信流程中，只增加了银行短信校验或者公安网校验，就顺利放款。在此案中，不法分子通过机主的银行卡号、身份证号、姓名、银行预留手机号等信息，加上短信验证，就在美团平台上办理了贷款业务，并很快将贷款通过新开立的支付账户消费掉了。

业内专家表示，为吸引用户，部分金融平台不会在绑卡开户时增加烦琐的校验方式，而是简化开户流程。更有一些小公司，为节省成本而省略步骤，校验的完成度和可靠性难以保障。

个人敏感信息保护不力。该案中，不法分子通过短信验证的方式便登录了某政务平台APP，获取机主的重要信息如探囊取物一般。

业内专家表示，身份验证要强化甄别“确为本人意愿”，如借助人脸识别等方式提高验证门槛。

此外，一些通信行业人士表示，一些无良手机APP过度收集个人信息，也为个人信息安全埋下隐患，一旦APP被侵入就会造成严重信息泄露。在公安部组织开展的“净网2019”专项行动中，被查处的违法违规采集个人信息的APP就多达683款，其中不乏知名企业。