只要一台pos机就能盗刷(7家暴露身份信息)
手机一丢,个人信息就裸奔?近日,上海警方破获一起非法盗刷信用卡案件,侦查发现,多名用户在遭遇信用卡盗刷前几小时都丢了手机,携程、同程、途牛等多款OTA平台或因暴露用户信息,成为用户手机丢失后信用卡被盗刷的主要信源。
原来,通过短信验证码登录部分OTA平台,就可套取用户身份信息。凭借身份证号,伪装成持卡人拨打银行客服,以获取被害人完整的身份、银行卡等信息,绑定第三方支付软件,实施盗刷。南都大数据研究院对去哪儿、携程、飞猪等10款具有购票功能的APP个人信息展示度展开测评,发现9款APP可通过短信验证码登录,其中7款APP均可找到个人预留身份证信息。
飞猪、携程、途牛等7款APP内均披露个人身份证信息
*部分APP个人信息泄露程度
南都记者实测发现,打开携程、去哪儿、飞猪旅行等10款需要使用个人信息购票的APP,除12306外,其余9款APP均可通过短信验证码直接登录。如果手机不慎被盗,被不法分子控制SIM卡后,插入其他手机也可无障碍登录。
去哪儿、携程、飞猪、途牛、驴妈妈、同城旅游、春秋旅游7款APP未对用户个人信息进行加密,在“常用旅客/信息”等入口完整展示曾经录入过的姓名、身份证号、生日等多项详细旅客信息,一旦登陆成功,不法分子使用这些信息就可以非法盗刷信用卡。
*去哪儿旅行旅客个人信息截图
不过,也有平台对用户信息安全防护做得较好,对常用旅客的关键信息,如手机号码、身份证号等隐藏处理。如马蜂窝APP中,常用旅客的手机号码、身份证号码等信息均只保留后四位数字;要出发APP则仅保留旅客身份证号的前两位、后两位数字,其余数字均使用“*”替代隐藏。
支付宝、广发“发现精彩”APP等部分平台存在安全隐患
有了身份证号,如何走到盗刷这一步?据了解,此次盗刷案中,犯罪嫌疑人能通过被害人身份证号掌握其银行卡信息,绑定第三方支付软件,实施盗刷。实测发现,部分第三方支付平台也或多或少存在破解漏洞。
*支付宝修改支付密码界面(安卓手机)
以支付宝为例,在安卓手机上打开支付宝,可通过手机短信验证码方式无门槛登录个人账户,重置支付密码。在“修改支付密码”界面显示,可通过四种方式重置密码,其中一种就是“短信验证码 身份证号”,这意味着,仅需要知道身份证号就可以修改支付宝支付密码。记者以同样方法测试苹果手机,发现“短信验证码 身份证号”入口则时有时无。
除了支付宝等第三方支付平台外,部分信用卡APP对个人财产信息的保护也有疏漏。例如广发银行“发现精彩”APP在登录时可利用身份证号重置登录密码进入,并在“卡片管理”中直接看到用户所绑定银行卡的完整卡号。获取了身份证号、银行卡号,便可轻而易举在微信、支付宝等绑定相同银行卡的第三方支付平台重置支付密码,控制其银行卡内金额实施盗刷。
手机应用软件“风控、安全系统”应及时升级
移动互联时代,手机知道你的一切秘密。SIM卡作为个人的另一张“身份证”,也是不少APP的通行证。为了方便用户登录,不少APP设置了手机短信验证码登录方式,但随之也带来安全隐患。目前旅游、购物、共享出行、生活服务等行业的多家平台均上线了“信用付产品”,例如京东的“白条支付”、苏宁易购的“任性付”、携程、去哪儿们的“拿去花”等等。如果用户开通这些贷款类消费产品,并允许小额免密支付,一旦手机落入他人之手,就会产生盗刷风险。事实上,数字经济时代基于消费升级衍生的新型信用金融产品,如若未能做好安全防护措施,无形之中也会成为犯罪分子的“作案利器”。
对此,业内有关人员表示,“手机应用软件的风控、安全系统应及时升级。比如除了实名认证外,也可增加生物识别技术验证,确认实人使用,为应用软件的使用安全加一道防火墙。”
出品:南都大数据研究院 企业声誉研究中心
数据采集分析:张雨亭 罗韵
,免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com