O2O網(wǎng)站被攻破 1分錢隨便買

　　用戶銀行卡莫名其妙被盜刷、O2O網(wǎng)站防不勝防讓黑客任意買、郵箱賬號密碼被盜導致連串損失……在“互聯(lián)網(wǎng)+”計劃提速、網(wǎng)絡支付日益普及的大環(huán)境下，各類盜取賬戶、套現(xiàn)等信用風險和欺詐風險事件層出不窮。

　　昨日有眾多業(yè)界人士呼吁， 單個企業(yè)已經無法抵御網(wǎng)絡安全風險，各大互聯(lián)網(wǎng)公司、銀行、電信運營商和監(jiān)管部門等應該一起聯(lián)手防范和打擊。

　　案例1:

　　用戶銀行卡莫名其妙被盜刷

　　不少用戶反映，突然收到銀行發(fā)來的短信稱自己的銀行卡在異地被盜刷，卡上余額在短時間內被取空，他們奇怪：自己沒有交易，銀行卡也并未離身??！

　　在業(yè)界看來，這一幕并不離奇，用戶銀行卡在一些終端上的刷卡信息很容易被截取。前幾天，GeekPwn 2015嘉年華（俗稱“黑客大賽”）在上海舉辦，現(xiàn)場一名“黑客”通過安卓手機綁定拉卡拉收款寶POS機，并在手機上安裝Xposed模塊去劫持交易信息，接著再用銀行卡（如某商業(yè)銀行）完成一次查詢余額的動作，之后會將交易信息劫持下來，然后用另一張卡（如公積金卡）去刷卡轉賬，輸入任意密碼就可以轉走前面銀行卡上的余額。

　　在當天的演示中，“黑客”利用SSL互聯(lián)網(wǎng)底層協(xié)議的未知漏洞，在用戶不知不覺中查詢余額和消費紀錄，個人隱私也都一覽無遺，“黑客”們還輕松攻破了盒子支付POS機，通過銀聯(lián)賬戶交易系統(tǒng)，“黑客”可以盜刷用戶銀行卡。

　　案例2:

　　智能攝像頭被攻破，隱私上網(wǎng)

　　最近，某視頻直播網(wǎng)站火了。根據(jù)各地網(wǎng)友反饋，這一視頻網(wǎng)站提供的是攝像頭實時監(jiān)控的視頻畫面：有的來自街道、景點等公共場所，有一些則來自餐廳、超市，甚至辦公室、賓館、私宅……更可怕的是，不少當事人表示，對“被直播”這事一無所知。

　　行內專家說，智能家居類產品已逐漸步入尋常百姓家，但實踐證明這些智能設備很容易被攻破，黑客可以讓智能攝像頭變成侵犯用戶隱私的道具。黑客還可以攻破智能烤箱，隨意調節(jié)其溫度、頻率等。想象一下，電影中烤箱爆炸的情景或許真的可能在現(xiàn)實生活中上演并威脅生命安全。

　　案例3:

　　O2O網(wǎng)站不設防讓黑客任性買

　　不久前，某犯罪分子利用上海一家影院網(wǎng)絡售票系統(tǒng)的漏洞，僅以1分錢的價格，買下影院在網(wǎng)絡平臺出售的價值140元的套票，并在其他網(wǎng)絡平臺上以36元的價格售出，致使該院線售票收入損失147萬元左右。令人驚訝的是，犯罪分子作案手段高明，不僅第三方支付平臺沒有發(fā)現(xiàn)問題，就連被盜影院都沒有發(fā)現(xiàn)異樣。

　　眾多O2O網(wǎng)站不同程度存在交易風險。有專家現(xiàn)場演示了如何利用“嘟嘟”美甲充值系統(tǒng)項目的漏洞，通過在自己手機上調用支付寶，在實際支付1分錢的情況下，完成任意價格的訂單充值。

　　現(xiàn)場選手還進行了利用O2O網(wǎng)站“阿姨幫”系統(tǒng)未知漏洞，進行任意充值的演示，其實，除了“阿姨幫”很多O2O產品都在支付接口有著類似的漏洞。

　　原因：超50%

　　小微金融企業(yè)無安全投入

　　各類盜取賬戶、套現(xiàn)等信用風險和欺詐風險事件層出不窮，給大家的信息財產安全帶來威脅，也成為了互聯(lián)網(wǎng)金融行業(yè)發(fā)展的桎梏，影響著行業(yè)的健康發(fā)展。

　　不少人疑惑：網(wǎng)易郵箱賬號泄露為何導致蘋果手機被鎖？攜程支付信息泄露卻導致京東用戶受騙？除了用戶自身原因外，也與各大互聯(lián)網(wǎng)公司缺乏合作有關。

　　騰訊公司首席運營官任宇昕認為，開放互聯(lián)網(wǎng)生態(tài)已經將所有的人、服務、應用連接起來，數(shù)以百萬計的服務應用與地圖、支付、社交等基礎產品連接，各大平臺級產品相互開放接口，互聯(lián)互通，在這樣密織成網(wǎng)狀的生態(tài)鏈里，任何一個環(huán)節(jié)出現(xiàn)安全紕漏，鏈條上其他人都可能被迅速波及。

　　數(shù)據(jù)

　　《2015網(wǎng)絡生態(tài)安全報告》顯示，超過45%的企業(yè)在過去三年曾發(fā)生過不同量級的信息安全事故，甚至不乏我們所熟悉的知名企業(yè)； 大型企業(yè)（規(guī)模超500人）與電信行業(yè)尤其是重災區(qū)，分別有超過57%和64%的企業(yè)發(fā)生過信息安全事故；這些安全事故直指商業(yè)機密、用戶信息等核心信息資產。

　　小微企業(yè)尤其是小微金融企業(yè)成為信息安全的最大風險點，接近40%的小微企業(yè)（100人以下）無信息安全團隊和資金投入，而超過50%的小微金融企業(yè)沒有任何安全方面的投入。

　　與之相對的，互聯(lián)網(wǎng)與電信行業(yè)在信息安全建設方面則已有較好基礎，這些企業(yè)超過76%已有信息安全方面的專項投入。

　　解決辦法：

　　各方共享數(shù)據(jù)聯(lián)手打擊

　　國家互聯(lián)網(wǎng)信息辦公室副主任王秀軍表示，信息網(wǎng)絡按照以摩爾定律為代表的非線性規(guī)律發(fā)展，云計算大數(shù)據(jù)互聯(lián)網(wǎng)移動互聯(lián)網(wǎng)的新技術新應用層出不窮，這些都對傳統(tǒng)安全防護模式帶來了嚴重的沖擊和挑戰(zhàn)，在萬物互聯(lián)的時代，系統(tǒng)的邊界日漸模糊，同時網(wǎng)絡安全的威脅樣式攻擊手段也發(fā)生了巨大的變化，照搬的做法是沒用的。

　　靜態(tài)防護單點防護不再適用，需要創(chuàng)新防護理念，堅持動態(tài)綜合的安全防護思想，防止簡單各自為戰(zhàn)，通過持續(xù)的創(chuàng)新和網(wǎng)絡發(fā)展，有效防范不斷變化的安全風險。

　　在此背景下，中國互聯(lián)網(wǎng)金融安全聯(lián)盟昨日宣布成立，首批成員單位包括騰訊安全、騰訊征信和京東金融、微眾銀行、招聯(lián)金融、光大銀行、光大永明人壽、北銀消費金融、浦發(fā)銀行信用卡中心、中信銀行信用卡中心、中郵消費金融、興業(yè)消費金融等，指導單位包括中國支付清算協(xié)會、中國人民大學。除此之外，聯(lián)盟成立后還將會和金融監(jiān)管部門、公安機關以及其他學術研究機構保持溝通。

　　任宇昕表示，作為互聯(lián)網(wǎng)開放生態(tài)中的一員，騰訊將開放騰訊玄武實驗室、反病毒實驗室和移動安全實驗室的安全技術，讓手機、智能設備、PC設備，以及運營商、銀行、開發(fā)者和萬千創(chuàng)業(yè)者在建立連接的時候獲得安全支持。

　　業(yè)界呼吁，各大互聯(lián)網(wǎng)公司擁有龐大的用戶數(shù)據(jù)庫以及保護海量用戶的經驗，應該與警方、運營商、銀行、企業(yè)等產業(yè)鏈合作伙伴實現(xiàn)連接和共享。通過大數(shù)據(jù)共享，共同打造一個立體的“天網(wǎng)”，在國家空間安全、企業(yè)級安全、金融安全、用戶安全以及防詐騙、防騷擾等泛安全層面實現(xiàn)全方位立體化保護。