O2O網(wǎng)站被攻破 1分錢(qián)隨便買(mǎi)

　　用戶(hù)銀行卡莫名其妙被盜刷、O2O網(wǎng)站防不勝防讓黑客任意買(mǎi)、郵箱賬號(hào)密碼被盜導(dǎo)致連串損失……在“互聯(lián)網(wǎng)+”計(jì)劃提速、網(wǎng)絡(luò)支付日益普及的大環(huán)境下，各類(lèi)盜取賬戶(hù)、套現(xiàn)等信用風(fēng)險(xiǎn)和欺詐風(fēng)險(xiǎn)事件層出不窮。

　　昨日有眾多業(yè)界人士呼吁， 單個(gè)企業(yè)已經(jīng)無(wú)法抵御網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，各大互聯(lián)網(wǎng)公司、銀行、電信運(yùn)營(yíng)商和監(jiān)管部門(mén)等應(yīng)該一起聯(lián)手防范和打擊。

　　案例1:

　　用戶(hù)銀行卡莫名其妙被盜刷

　　不少用戶(hù)反映，突然收到銀行發(fā)來(lái)的短信稱(chēng)自己的銀行卡在異地被盜刷，卡上余額在短時(shí)間內(nèi)被取空，他們奇怪：自己沒(méi)有交易，銀行卡也并未離身??！

　　在業(yè)界看來(lái)，這一幕并不離奇，用戶(hù)銀行卡在一些終端上的刷卡信息很容易被截取。前幾天，GeekPwn 2015嘉年華（俗稱(chēng)“黑客大賽”）在上海舉辦，現(xiàn)場(chǎng)一名“黑客”通過(guò)安卓手機(jī)綁定拉卡拉收款寶POS機(jī)，并在手機(jī)上安裝Xposed模塊去劫持交易信息，接著再用銀行卡（如某商業(yè)銀行）完成一次查詢(xún)余額的動(dòng)作，之后會(huì)將交易信息劫持下來(lái)，然后用另一張卡（如公積金卡）去刷卡轉(zhuǎn)賬，輸入任意密碼就可以轉(zhuǎn)走前面銀行卡上的余額。

　　在當(dāng)天的演示中，“黑客”利用SSL互聯(lián)網(wǎng)底層協(xié)議的未知漏洞，在用戶(hù)不知不覺(jué)中查詢(xún)余額和消費(fèi)紀(jì)錄，個(gè)人隱私也都一覽無(wú)遺，“黑客”們還輕松攻破了盒子支付POS機(jī)，通過(guò)銀聯(lián)賬戶(hù)交易系統(tǒng)，“黑客”可以盜刷用戶(hù)銀行卡。

　　案例2:

　　智能攝像頭被攻破，隱私上網(wǎng)

　　最近，某視頻直播網(wǎng)站火了。根據(jù)各地網(wǎng)友反饋，這一視頻網(wǎng)站提供的是攝像頭實(shí)時(shí)監(jiān)控的視頻畫(huà)面：有的來(lái)自街道、景點(diǎn)等公共場(chǎng)所，有一些則來(lái)自餐廳、超市，甚至辦公室、賓館、私宅……更可怕的是，不少當(dāng)事人表示，對(duì)“被直播”這事一無(wú)所知。

　　行內(nèi)專(zhuān)家說(shuō)，智能家居類(lèi)產(chǎn)品已逐漸步入尋常百姓家，但實(shí)踐證明這些智能設(shè)備很容易被攻破，黑客可以讓智能攝像頭變成侵犯用戶(hù)隱私的道具。黑客還可以攻破智能烤箱，隨意調(diào)節(jié)其溫度、頻率等。想象一下，電影中烤箱爆炸的情景或許真的可能在現(xiàn)實(shí)生活中上演并威脅生命安全。

　　案例3:

　　O2O網(wǎng)站不設(shè)防讓黑客任性買(mǎi)

　　不久前，某犯罪分子利用上海一家影院網(wǎng)絡(luò)售票系統(tǒng)的漏洞，僅以1分錢(qián)的價(jià)格，買(mǎi)下影院在網(wǎng)絡(luò)平臺(tái)出售的價(jià)值140元的套票，并在其他網(wǎng)絡(luò)平臺(tái)上以36元的價(jià)格售出，致使該院線售票收入損失147萬(wàn)元左右。令人驚訝的是，犯罪分子作案手段高明，不僅第三方支付平臺(tái)沒(méi)有發(fā)現(xiàn)問(wèn)題，就連被盜影院都沒(méi)有發(fā)現(xiàn)異樣。

　　眾多O2O網(wǎng)站不同程度存在交易風(fēng)險(xiǎn)。有專(zhuān)家現(xiàn)場(chǎng)演示了如何利用“嘟嘟”美甲充值系統(tǒng)項(xiàng)目的漏洞，通過(guò)在自己手機(jī)上調(diào)用支付寶，在實(shí)際支付1分錢(qián)的情況下，完成任意價(jià)格的訂單充值。

　　現(xiàn)場(chǎng)選手還進(jìn)行了利用O2O網(wǎng)站“阿姨幫”系統(tǒng)未知漏洞，進(jìn)行任意充值的演示，其實(shí)，除了“阿姨幫”很多O2O產(chǎn)品都在支付接口有著類(lèi)似的漏洞。

　　原因：超50%

　　小微金融企業(yè)無(wú)安全投入

　　各類(lèi)盜取賬戶(hù)、套現(xiàn)等信用風(fēng)險(xiǎn)和欺詐風(fēng)險(xiǎn)事件層出不窮，給大家的信息財(cái)產(chǎn)安全帶來(lái)威脅，也成為了互聯(lián)網(wǎng)金融行業(yè)發(fā)展的桎梏，影響著行業(yè)的健康發(fā)展。

　　不少人疑惑：網(wǎng)易郵箱賬號(hào)泄露為何導(dǎo)致蘋(píng)果手機(jī)被鎖？攜程支付信息泄露卻導(dǎo)致京東用戶(hù)受騙？除了用戶(hù)自身原因外，也與各大互聯(lián)網(wǎng)公司缺乏合作有關(guān)。

　　騰訊公司首席運(yùn)營(yíng)官任宇昕認(rèn)為，開(kāi)放互聯(lián)網(wǎng)生態(tài)已經(jīng)將所有的人、服務(wù)、應(yīng)用連接起來(lái)，數(shù)以百萬(wàn)計(jì)的服務(wù)應(yīng)用與地圖、支付、社交等基礎(chǔ)產(chǎn)品連接，各大平臺(tái)級(jí)產(chǎn)品相互開(kāi)放接口，互聯(lián)互通，在這樣密織成網(wǎng)狀的生態(tài)鏈里，任何一個(gè)環(huán)節(jié)出現(xiàn)安全紕漏，鏈條上其他人都可能被迅速波及。

　　數(shù)據(jù)

　　《2015網(wǎng)絡(luò)生態(tài)安全報(bào)告》顯示，超過(guò)45%的企業(yè)在過(guò)去三年曾發(fā)生過(guò)不同量級(jí)的信息安全事故，甚至不乏我們所熟悉的知名企業(yè)； 大型企業(yè)（規(guī)模超500人）與電信行業(yè)尤其是重災(zāi)區(qū)，分別有超過(guò)57%和64%的企業(yè)發(fā)生過(guò)信息安全事故；這些安全事故直指商業(yè)機(jī)密、用戶(hù)信息等核心信息資產(chǎn)。

　　小微企業(yè)尤其是小微金融企業(yè)成為信息安全的最大風(fēng)險(xiǎn)點(diǎn)，接近40%的小微企業(yè)（100人以下）無(wú)信息安全團(tuán)隊(duì)和資金投入，而超過(guò)50%的小微金融企業(yè)沒(méi)有任何安全方面的投入。

　　與之相對(duì)的，互聯(lián)網(wǎng)與電信行業(yè)在信息安全建設(shè)方面則已有較好基礎(chǔ)，這些企業(yè)超過(guò)76%已有信息安全方面的專(zhuān)項(xiàng)投入。

　　解決辦法：

　　各方共享數(shù)據(jù)聯(lián)手打擊

　　國(guó)家互聯(lián)網(wǎng)信息辦公室副主任王秀軍表示，信息網(wǎng)絡(luò)按照以摩爾定律為代表的非線性規(guī)律發(fā)展，云計(jì)算大數(shù)據(jù)互聯(lián)網(wǎng)移動(dòng)互聯(lián)網(wǎng)的新技術(shù)新應(yīng)用層出不窮，這些都對(duì)傳統(tǒng)安全防護(hù)模式帶來(lái)了嚴(yán)重的沖擊和挑戰(zhàn)，在萬(wàn)物互聯(lián)的時(shí)代，系統(tǒng)的邊界日漸模糊，同時(shí)網(wǎng)絡(luò)安全的威脅樣式攻擊手段也發(fā)生了巨大的變化，照搬的做法是沒(méi)用的。

　　靜態(tài)防護(hù)單點(diǎn)防護(hù)不再適用，需要?jiǎng)?chuàng)新防護(hù)理念，堅(jiān)持動(dòng)態(tài)綜合的安全防護(hù)思想，防止簡(jiǎn)單各自為戰(zhàn)，通過(guò)持續(xù)的創(chuàng)新和網(wǎng)絡(luò)發(fā)展，有效防范不斷變化的安全風(fēng)險(xiǎn)。

　　在此背景下，中國(guó)互聯(lián)網(wǎng)金融安全聯(lián)盟昨日宣布成立，首批成員單位包括騰訊安全、騰訊征信和京東金融、微眾銀行、招聯(lián)金融、光大銀行、光大永明人壽、北銀消費(fèi)金融、浦發(fā)銀行信用卡中心、中信銀行信用卡中心、中郵消費(fèi)金融、興業(yè)消費(fèi)金融等，指導(dǎo)單位包括中國(guó)支付清算協(xié)會(huì)、中國(guó)人民大學(xué)。除此之外，聯(lián)盟成立后還將會(huì)和金融監(jiān)管部門(mén)、公安機(jī)關(guān)以及其他學(xué)術(shù)研究機(jī)構(gòu)保持溝通。

　　任宇昕表示，作為互聯(lián)網(wǎng)開(kāi)放生態(tài)中的一員，騰訊將開(kāi)放騰訊玄武實(shí)驗(yàn)室、反病毒實(shí)驗(yàn)室和移動(dòng)安全實(shí)驗(yàn)室的安全技術(shù)，讓手機(jī)、智能設(shè)備、PC設(shè)備，以及運(yùn)營(yíng)商、銀行、開(kāi)發(fā)者和萬(wàn)千創(chuàng)業(yè)者在建立連接的時(shí)候獲得安全支持。

　　業(yè)界呼吁，各大互聯(lián)網(wǎng)公司擁有龐大的用戶(hù)數(shù)據(jù)庫(kù)以及保護(hù)海量用戶(hù)的經(jīng)驗(yàn)，應(yīng)該與警方、運(yùn)營(yíng)商、銀行、企業(yè)等產(chǎn)業(yè)鏈合作伙伴實(shí)現(xiàn)連接和共享。通過(guò)大數(shù)據(jù)共享，共同打造一個(gè)立體的“天網(wǎng)”，在國(guó)家空間安全、企業(yè)級(jí)安全、金融安全、用戶(hù)安全以及防詐騙、防騷擾等泛安全層面實(shí)現(xiàn)全方位立體化保護(hù)。