雨果網(wǎng)從外媒近日的報道中了解到，在經(jīng)歷PayPal賬號被盜問題后，安全專家和博客主Brian Krebs說，這個事件說明了許多企業(yè)在保障客戶賬號安全方面有多落后。

大多數(shù)組織，包括金融機構，在驗證客戶身份和防賬號盜竊方面都可悲地落伍了。

事情發(fā)生在圣誕節(jié)前夕，PayPal給Krebs發(fā)了一封郵件，通知說有一個郵箱地址被添加到他的PayPal賬號上了。之后又給他發(fā)了一次郵件，在Krebs處理完這個問題的20分鐘后，他的PayPal賬號被盜了。

“竊賊假扮成我，打電話到PayPal客戶服務中心，只需提供我的社會保險號后四位數(shù)字和舊的信用卡后四位數(shù)字就可以更改我的PayPal賬號密碼?！?

Krebs非常了解地下網(wǎng)絡黑客的運作，他說靜態(tài)身份驗證方式經(jīng)常被放在網(wǎng)上買賣。

值得稱贊的是，PayPal提供了雙重身份驗證。一位讀者在Krebs博客下評論寫道：“很遺憾，你由于一些很明顯的原因被黑客攻擊，我同意PayPal應該有比現(xiàn)在更復雜點的身份驗證方法……但是它確實有2種驗證程序，不會允許未經(jīng)過驗證的設備或電腦登錄賬戶，即使有密碼也不行，除非他們得到驗證碼?！?

作為回答，Krebs說這沒有抓住事件的重點?！拔矣虚_啟雙重身份驗證（PayPal安全密匙卡），但是黑客繞過了它。我不清楚當密碼重置時，PayPal是否要求進行雙重驗證，但問題是當有人打電話要求重置密碼，口頭回答幾個問題就能成功時，兩步雙重驗證方法似乎并沒有什么用處?！保ň幾g/雨果網(wǎng) 楊雪平）