微信密码漏洞曝光 马化腾账号遭侵

　在互联网时代，世界果然就像是平的，普通人与名人的距离似乎只有一个智能手机那么远。前不久，南大学生刘靖康通过电话采访360董事长周鸿祎的视频拨号声，分析出了周总的手机号码，还被周鸿祎亲自承认“有才”，李开复则对其伸出橄榄枝。

　　最近，又有网友发现了微信密码漏洞，通过破解腾讯CEO马化腾、主持人柳岩等名人身边人的微信账号，和名人们来了一次点对点的“对话”。这位“极客”将破解过程公布出来后，引来许多网友围观。不过，这位以寻找漏洞为乐的“极客”提醒大家说，“这个微信漏洞早在9月份就已经被修复，发布给公众看也只是起个提醒作用”。昨天，现代快报记者连线采访了这位“极客”，同时也请教了南大技术帝刘靖康，让两位为大伙支招如何防漏洞、保护个人信息。

　　极客与马化腾亲密“对话”

　　补漏者意外发现微信密码漏洞

　　这份名为《微信任意用户密码修改漏洞》的技术帖最早出现在国内知名的漏洞报告平台“乌云网”，这里集中许多“查漏补缺”的高手，这次微信用户密码修改的极客“only_guest”便是其中一员，而他的真名叫张瑞冬。

　　在黑客圈子里，一般分三种类型：白帽子、灰帽子和黑帽子。“白帽子”不会恶意利用计算机系统或网络系统中的安全漏洞，而是通过提示和公布等方式，促进漏洞的修补；“黑帽子”指研究攻击技术并将之用来惹是生非的黑客；“灰帽子”则介于两者之间。

　　在乌云网上，大家也都以“白帽子”称呼各位补漏者，大家都是义务寻找漏洞并提醒厂家进行修复，并没有报酬可言。对于“白帽子”们而言，每天寻找互联网中存在的安全漏洞是他们的乐趣和使命， 张瑞冬便是在一次平常的查漏中，发现了微信的这个漏洞。

　9月份就破解漏洞，目前已修复

　　面对突然在微博上盛传的“破解马化腾微信账号”的消息，张瑞冬说：“其实媒体报道的标题有点错误，我并没有破解柳岩、马化腾的微信账号，只是通过他们的身边人，找到他们的微信账号，能以好友身份进行对话、查看资料等等。”

　　张瑞冬破解此漏洞是在9月4日，通过几个试验证实之后，张瑞冬通过乌云网立刻向腾讯微信方面反映，厂家确认其漏洞存在，现已修复。同时，在9月4日12点多，“@腾讯应急安全响应中心”腾讯官方微博对此漏洞进行转发确认，承认张瑞冬所做的补漏工作。

　　而这个早已被修复好的漏洞最近才突然在网络上“火起来”，而且顺带着柳岩、马化腾等名人身份，许多网友都前来围观“逆天的技术宅”。张瑞冬也自嘲地说，“都这么久了，怎么突然又火起来了。”

　　与马化腾来了次亲密“对话”

　　说起这个漏洞，张瑞冬坦言其实挺简单也挺正常，当时破解前后不到1个小时时间。“简单点说，这个漏洞就是利用已知的绑定微信的电话号码，绕过验证码进行密码修改，当时就想试一试，证实自己的想法。”至于为什么选择了与柳岩、马化腾相关的微信账号，张瑞冬嘿嘿一笑，“总觉得是名人才有点难度，但我没选他们俩本人账号，也是考虑不要太过。”

　　发现这个漏洞后，张瑞冬选择修改了两个人微信账号密码，一个是明星柳岩的经纪人，一个是腾讯的某位高管，并通过这两位的微信账号获取了柳岩和马化腾的微信号或QQ号，至于这两人的电话号码，张瑞冬是从网络公开信息获知的。“我当初还好奇尝试着加柳岩的QQ号，不过她是拒绝添加好友的；然后我用这位高管的号码发了一个信息给马化腾，当时是凌晨4点半左右，他不在线并没有回复我。”

　　9月初，正是周鸿祎手机号码被破译的新闻热潮期，张瑞冬也利用音频分析破解出周鸿祎的手机号，尝试进行微信密码修改。“结果发现周鸿祎没有注册微信。”张瑞冬说道，结果这一结论也成了许多网友吐槽调侃的对象：“你怎么不促成周鸿祎和马化腾成为微信好友”？

　　张瑞冬，自学成才的90后

　　虽然被众多网友称为“技术宅”“大牛”，但极客张瑞冬却是个实实在在的90后，并且属于自学成才型。

　　张瑞冬现在正在成都从事网络安全方面的工作，虽然还只有21岁，但已经正式工作4年。“我在读中学时就已经尝试做网络这方面了，14岁就开始在一个黑客网站做管理员，培训新手。中学毕业后就出来工作了，虽然这方面很多都是经验所得，但我也越来越感觉基础知识的重要性，所以也在努力学习。”

　　至于为什么乐意查找漏洞，张瑞冬坦言感觉像是做“白帽子”的使命感，因为他们查找出漏洞及时通知厂商，总比“黑帽子”们用来做不合法的事情要好。“当然也会很有成就感，觉得自己把漏洞找出来，能让互联网产品更完善。”从2010年8月23日注册至今，张瑞冬在乌云网上已经提交了62个漏洞，涉及银行、视频网站、酒店业务、社交网站等各个方面，至于有人提出的“保护隐私”等问题，张瑞冬说，作为“白帽子”的职业道德，对于一般漏洞他都是拿自己的账户作为试验对象，涉及公共信息的，一旦证实漏洞存在，他会立即向厂家反映，不会继续阅读所获取的信息。“这一次就是好玩，进行漏洞测试后我立刻退出了账号。”张瑞冬有些不好意思地说道，“我们需要自觉遵守《黑客自律公约》。”

　　我喜欢人家叫我“黑客”

　　现代快报：查漏洞这件事是完全无偿的，你为什么愿意花费这么多工夫去做？

　　张瑞冬：大家的兴趣爱好都是这个，不愿意被互联网的种种限制所束缚，希望可以凭借自己的技术手段突破这些限制。但我们本身又是互联网秩序的维护者，所以我们通过这样的一种方式，既满足了自己对自由的向往，也维护了互联网应有的秩序。

　　现代快报：证明别人有漏洞存在，是会带给你很大的满足感或成就感吗？