手機(jī)一丟,個(gè)人信息就裸奔?近日,上海警方破獲一起非法盜刷信用卡案件,偵查發(fā)現(xiàn),多名用戶在遭遇信用卡盜刷前幾小時(shí)都丟了手機(jī),攜程、同程、途牛等多款OTA平臺(tái)或因暴露用戶信息,成為用戶手機(jī)丟失后信用卡被盜刷的主要信源。
原來(lái),通過(guò)短信驗(yàn)證碼登錄部分OTA平臺(tái),就可套取用戶身份信息。憑借身份證號(hào),偽裝成持卡人撥打銀行客服,以獲取被害人完整的身份、銀行卡等信息,綁定第三方支付軟件,實(shí)施盜刷。南都大數(shù)據(jù)研究院對(duì)去哪兒、攜程、飛豬等10款具有購(gòu)票功能的APP個(gè)人信息展示度展開(kāi)測(cè)評(píng),發(fā)現(xiàn)9款A(yù)PP可通過(guò)短信驗(yàn)證碼登錄,其中7款A(yù)PP均可找到個(gè)人預(yù)留身份證信息。
飛豬、攜程、途牛等7款A(yù)PP內(nèi)均披露個(gè)人身份證信息
*部分APP個(gè)人信息泄露程度
記者實(shí)測(cè)發(fā)現(xiàn),打開(kāi)攜程、去哪兒、飛豬旅行等10款需要使用個(gè)人信息購(gòu)票的APP,除12306外,其余9款A(yù)PP均可通過(guò)短信驗(yàn)證碼直接登錄。如果手機(jī)不慎被盜,被不法分子控制SIM卡后,插入其他手機(jī)也可無(wú)障礙登錄。
去哪兒、攜程、飛豬、途牛、驢媽媽、同城旅游、春秋旅游7款A(yù)PP未對(duì)用戶個(gè)人信息進(jìn)行加密,在“常用旅客/信息”等入口完整展示曾經(jīng)錄入過(guò)的姓名、身份證號(hào)、生日等多項(xiàng)詳細(xì)旅客信息,一旦登陸成功,不法分子使用這些信息就可以非法盜刷信用卡。
*去哪兒旅行旅客個(gè)人信息截圖
不過(guò),也有平臺(tái)對(duì)用戶信息安全防護(hù)做得較好,對(duì)常用旅客的關(guān)鍵信息,如手機(jī)號(hào)碼、身份證號(hào)等隱藏處理。如馬蜂窩APP中,常用旅客的手機(jī)號(hào)碼、身份證號(hào)碼等信息均只保留后四位數(shù)字;要出發(fā)APP則僅保留旅客身份證號(hào)的前兩位、后兩位數(shù)字,其余數(shù)字均使用“*”替代隱藏。
支付寶、廣發(fā)“發(fā)現(xiàn)精彩”APP等部分平臺(tái)存在安全隱患
有了身份證號(hào),如何走到盜刷這一步?據(jù)了解,此次盜刷案中,犯罪嫌疑人能通過(guò)被害人身份證號(hào)掌握其銀行卡信息,綁定第三方支付軟件,實(shí)施盜刷。實(shí)測(cè)發(fā)現(xiàn),部分第三方支付平臺(tái)也或多或少存在破解漏洞。
*支付寶修改支付密碼界面(安卓手機(jī))
以支付寶為例,在安卓手機(jī)上打開(kāi)支付寶,可通過(guò)手機(jī)短信驗(yàn)證碼方式無(wú)門檻登錄個(gè)人賬戶,重置支付密碼。在“修改支付密碼”界面顯示,可通過(guò)四種方式重置密碼,其中一種就是“短信驗(yàn)證碼+身份證號(hào)”,這意味著,僅需要知道身份證號(hào)就可以修改支付寶支付密碼。記者以同樣方法測(cè)試蘋果手機(jī),發(fā)現(xiàn)“短信驗(yàn)證碼+身份證號(hào)”入口則時(shí)有時(shí)無(wú)。
除了支付寶等第三方支付平臺(tái)外,部分信用卡APP對(duì)個(gè)人財(cái)產(chǎn)信息的保護(hù)也有疏漏。例如廣發(fā)銀行“發(fā)現(xiàn)精彩”APP在登錄時(shí)可利用身份證號(hào)重置登錄密碼進(jìn)入,并在“卡片管理”中直接看到用戶所綁定銀行卡的完整卡號(hào)。獲取了身份證號(hào)、銀行卡號(hào),便可輕而易舉在微信、支付寶等綁定相同銀行卡的第三方支付平臺(tái)重置支付密碼,控制其銀行卡內(nèi)金額實(shí)施盜刷。
手機(jī)應(yīng)用軟件“風(fēng)控、安全系統(tǒng)”應(yīng)及時(shí)升級(jí)
移動(dòng)互聯(lián)時(shí)代,手機(jī)知道你的一切秘密。SIM卡作為個(gè)人的另一張“身份證”,也是不少APP的通行證。為了方便用戶登錄,不少APP設(shè)置了手機(jī)短信驗(yàn)證碼登錄方式,但隨之也帶來(lái)安全隱患。目前旅游、購(gòu)物、共享出行、生活服務(wù)等行業(yè)的多家平臺(tái)均上線了“信用付產(chǎn)品”,例如京東的“白條支付”、蘇寧易購(gòu)的“任性付”、攜程、去哪兒們的“拿去花”等等。如果用戶開(kāi)通這些貸款類消費(fèi)產(chǎn)品,并允許小額免密支付,一旦手機(jī)落入他人之手,就會(huì)產(chǎn)生盜刷風(fēng)險(xiǎn)。事實(shí)上,數(shù)字經(jīng)濟(jì)時(shí)代基于消費(fèi)升級(jí)衍生的新型信用金融產(chǎn)品,如若未能做好安全防護(hù)措施,無(wú)形之中也會(huì)成為犯罪分子的“作案利器”。
對(duì)此,業(yè)內(nèi)有關(guān)人員表示,“手機(jī)應(yīng)用軟件的風(fēng)控、安全系統(tǒng)應(yīng)及時(shí)升級(jí)。比如除了實(shí)名認(rèn)證外,也可增加生物識(shí)別技術(shù)驗(yàn)證,確認(rèn)實(shí)人使用,為應(yīng)用軟件的使用安全加一道防火墻。”
