短信云同步导致银行卡被刷 小米这个锅背得冤吗

（原标题：短信云同步导致银行卡被刷 小米这个锅背得冤吗）

前两天，一位知乎用户@曹一聪发表了一篇《小米短信同步缺陷让父母银行卡被盗十万元》的文章，详细描述了他母亲是如何因为小米短信云同步功能被盗走了十万元。事情的经过是，8月21日上午，他母亲使用的小米5手机收到了“新增云同步设备”的通知提醒，随后二十多分钟内陆续收到银行发送的多条短信验证码、多条转账成功还有贷款成功的通知，其银行卡先后被转走6万多元以及贷款4万多元。

不法分子之所以能得到他母亲的小米账户，可能是通过撞库攻击进行的暴力破解，然后用破解得到的账户和密码在另外一台小米手机上进行登陆，并通过短信云同步的功能，成功获得浦发银行的验证码短信，提款成功。

这篇文章随即在知乎上引发了大量关注，这也使得小米再次陷入了舆论的漩涡。因为这已经不是小米第一次因为短信验证缺陷带来的盗刷事件。早在上个月，一位山西用户就因为小米账号被盗，被犯罪分子利用小米云服务短信同步接收验证码功能，盗刷了银行存款。

这两起盗刷事件可谓是如出一辙，它们共同的争议点是，小米的短信云同步机制、身份验证机制及登陆设备验证机制是否存在漏洞。

按照小米的说法是，新设备在登陆小米账户时肯定会下发验证码，并且通知类短信同步会有7天延迟。但一些用户在测试后发现，不同版本MIUI和不同型号小米手机之间的短信同步时间会存在差异。并且新设备在登陆绑定了手机号的、完全未使用过的小米账户时，也不需要手机验证码。也就是说，如果直接在另外一台小米手机上登陆小米账户，是不需要通过手机验证码即可登陆，并且还可以同步短信、通讯录、相册等敏感信息。

值得一提的是，8月22日凌晨1点，小米还强制推送了一次MIUI更新，曹一聪母亲的小米5也收到了MIUI更新自动重启。曹一聪认为，这可能是小米通过系统强制更新，进而修补小米账户云同步的一些漏洞。

但事实上，这次更新小米只是在账户登录页面新增了一个“声明和条款”，以表示小米不会将用户的信息用于其它商业服务。但用小米手机登陆其它小米账号时，仍不需要通过手机短信验证码就可以登陆，并且还能成功同步所有数据。

那么，这件事情的背后究竟是谁的责任？

小米自然要承担一部分责任，作为云服务提供商应当要为用户的信息提供更安全的保护机制，尤其是在处理照片、短信、银行信息等敏感数据时，理应提醒用户或进行二次验证。比如iPhone用户在新设备上登陆苹果账号，并试图恢复邮箱、联系人、短信等信息时，都需要通过手机验证码或邮箱验证本人身份。

当然，银行方面也有很大的责任。通过盗取账户实现转账还能理解，但如果线上就能办理贷款就有点难了，因为贷款通常都需要核对用户的身份信息，而如果线上就办理了贷款就可能是银行存在巨大的漏洞。

另外，运营商也有一部分责任。虽然运营商推出了短信验证服务，但却一直没有对该服务的安全性进行升级，不法分子完全可以通过手机病毒、伪基站、钓鱼wifi等手段获得短信验证码，从而盗刷银行卡存款。

而最大的责任还是来自用户自身，曹一聪在文章中写了许多小米的问题，但一直没有透露他母亲丢失银行账号、登陆密码和支付密码的原因。另外，她在收到小米手机“新增云同步设备”通知时也没有作出及时处理，这使得不法分子能够轻松登陆其小米账号，增加了信息泄漏的风险。

互联网的普及给人们带来了便利，但信息安全问题也随之突显了出来。各种拖库撞库、暴力破解、网络窃听等攻击手段层出不穷，这就要求用户应更加增强信息安全的保护意识，从而避免隐私泄漏或财产损失。