实测OTA平台，7家暴露身份信息，存被利用盗刷风险

　　手机一丢，个人信息就裸奔？近日，上海警方破获一起非法盗刷信用卡案件，侦查发现，多名用户在遭遇信用卡盗刷前几小时都丢了手机，携程、同程、途牛等多款OTA平台或因暴露用户信息，成为用户手机丢失后信用卡被盗刷的主要信源。

 

　　原来，通过短信验证码登录部分OTA平台，就可套取用户身份信息。凭借身份证号，伪装成持卡人拨打银行客服，以获取被害人完整的身份、银行卡等信息，绑定第三方支付软件，实施盗刷。南都大数据研究院对去哪儿、携程、飞猪等10款具有购票功能的APP个人信息展示度展开测评，发现9款APP可通过短信验证码登录，其中7款APP均可找到个人预留身份证信息。

 

　　飞猪、携程、途牛等7款APP内均披露个人身份证信息

 

 

　　*部分APP个人信息泄露程度

 

　　记者实测发现，打开携程、去哪儿、飞猪旅行等10款需要使用个人信息购票的APP，除12306外，其余9款APP均可通过短信验证码直接登录。如果手机不慎被盗，被不法分子控制SIM卡后，插入其他手机也可无障碍登录。

 

　　去哪儿、携程、飞猪、途牛、驴妈妈、同城旅游、春秋旅游7款APP未对用户个人信息进行加密，在“常用旅客/信息”等入口完整展示曾经录入过的姓名、身份证号、生日等多项详细旅客信息，一旦登陆成功，不法分子使用这些信息就可以非法盗刷信用卡。

 

 

　　*去哪儿旅行旅客个人信息截图

 

　　不过，也有平台对用户信息安全防护做得较好，对常用旅客的关键信息，如手机号码、身份证号等隐藏处理。如马蜂窝APP中，常用旅客的手机号码、身份证号码等信息均只保留后四位数字；要出发APP则仅保留旅客身份证号的前两位、后两位数字，其余数字均使用“*”替代隐藏。

 

　　支付宝、广发“发现精彩”APP等部分平台存在安全隐患

 

　　有了身份证号，如何走到盗刷这一步？据了解，此次盗刷案中，犯罪嫌疑人能通过被害人身份证号掌握其银行卡信息，绑定第三方支付软件，实施盗刷。实测发现，部分第三方支付平台也或多或少存在破解漏洞。

 

 

　　*支付宝修改支付密码界面（安卓手机）

 

　　以支付宝为例，在安卓手机上打开支付宝，可通过手机短信验证码方式无门槛登录个人账户，重置支付密码。在“修改支付密码”界面显示，可通过四种方式重置密码，其中一种就是“短信验证码+身份证号”，这意味着，仅需要知道身份证号就可以修改支付宝支付密码。记者以同样方法测试苹果手机，发现“短信验证码+身份证号”入口则时有时无。

 

　　除了支付宝等第三方支付平台外，部分信用卡APP对个人财产信息的保护也有疏漏。例如广发银行“发现精彩”APP在登录时可利用身份证号重置登录密码进入，并在“卡片管理”中直接看到用户所绑定银行卡的完整卡号。获取了身份证号、银行卡号，便可轻而易举在微信、支付宝等绑定相同银行卡的第三方支付平台重置支付密码，控制其银行卡内金额实施盗刷。

 

　　手机应用软件“风控、安全系统”应及时升级

 

　　移动互联时代，手机知道你的一切秘密。SIM卡作为个人的另一张“身份证”，也是不少APP的通行证。为了方便用户登录，不少APP设置了手机短信验证码登录方式，但随之也带来安全隐患。目前旅游、购物、共享出行、生活服务等行业的多家平台均上线了“信用付产品”，例如京东的“白条支付”、苏宁易购的“任性付”、携程、去哪儿们的“拿去花”等等。如果用户开通这些贷款类消费产品，并允许小额免密支付，一旦手机落入他人之手，就会产生盗刷风险。事实上，数字经济时代基于消费升级衍生的新型信用金融产品，如若未能做好安全防护措施，无形之中也会成为犯罪分子的“作案利器”。

 

　　对此，业内有关人员表示，“手机应用软件的风控、安全系统应及时升级。比如除了实名认证外，也可增加生物识别技术验证，确认实人使用，为应用软件的使用安全加一道防火墙。”