近日，記者從補(bǔ)天漏洞響應(yīng)平臺(tái)獲悉，近一個(gè)月來，不斷有網(wǎng)友在平臺(tái)中反饋O2O網(wǎng)站或APP有漏洞。

例如一名網(wǎng)友發(fā)現(xiàn)，一個(gè)名叫“上門幫”的生活服務(wù)類APP，主要經(jīng)營上門足療保健項(xiàng)目。有人能利用該APP存在的漏洞，獲取顧客的昵稱、聯(lián)系電話、家庭地址、上門足浴項(xiàng)目、夜間服務(wù)費(fèi)用等信息，甚至對消費(fèi)時(shí)間都了如指掌。

另一網(wǎng)友則發(fā)現(xiàn)，一家名叫“隔壁老王”的生活服務(wù)類APP也存在漏洞。開發(fā)APP的團(tuán)隊(duì)稱，可以改變用戶的購物習(xí)慣。用戶在APP上確定自己的位置后，“隔壁老王”就能提供周邊商戶的信息，用戶可以選擇商家并實(shí)現(xiàn)在線購買。

網(wǎng)友通過該APP的漏洞測試發(fā)現(xiàn)，可以查看數(shù)十萬商品的信息，還有大批用戶的姓名、住址、手機(jī)號、支付信息等。甚至可以輕松修改商品價(jià)格，“一分錢買下一個(gè)商店價(jià)值數(shù)十萬的商品?！?/p>

　核實(shí) 發(fā)給用戶代碼 可被輕易抓取

360安全專家對這些APP的漏洞核實(shí)后表示，顧客一般會(huì)用手機(jī)號碼在APP上注冊、發(fā)送服務(wù)要求，APP會(huì)向顧客發(fā)出代碼。黑客可以通過漏洞抓取這個(gè)代碼，顧客的個(gè)人信息就被竊取了。

專家表示，過去這種O2O模式的APP漏洞報(bào)告很少，但近期呈現(xiàn)出爆發(fā)趨勢。近兩個(gè)月來，他們已接到近20個(gè)APP的漏洞報(bào)告，這些APP的功能主要是上門提供服務(wù)，如上門足療按摩、上門家政、上門洗車、上門送飯等。

專家稱，老百姓要享受上門服務(wù)，就要在這些APP上輸入詳細(xì)的個(gè)人信息，比如愛好、生活習(xí)慣、手機(jī)號碼、身份證、家庭住址等。這些信息一旦被人竊取會(huì)非常危險(xiǎn)。

據(jù)介紹，補(bǔ)天漏洞響應(yīng)平臺(tái)是全球最大的漏洞響應(yīng)平臺(tái)，幫助企業(yè)建立安全應(yīng)急響應(yīng)中心。自2013年推出以來，補(bǔ)天平臺(tái)幫助數(shù)百個(gè)廠商修復(fù)了安全漏洞，并保護(hù)了累計(jì)數(shù)百萬網(wǎng)站免受黑客侵害。

而對于網(wǎng)友反饋的APP漏洞，專家核實(shí)后已將大部分漏洞信息通知了廠商，但真正進(jìn)行修補(bǔ)的網(wǎng)站并不多。360的安全專家告訴記者，出現(xiàn)漏洞的主 要原因是，這些上門服務(wù)APP剛開始流行，廠家花十多萬元就能推出一款A(yù)PP。但這種倉促上馬的APP安全性較差，導(dǎo)致漏洞頻發(fā)。

專家提醒用戶，要在正規(guī)應(yīng)用市場下載APP，安裝手機(jī)衛(wèi)士等安全應(yīng)用。在填寫個(gè)人信息時(shí)，可模糊自己的姓名、地址。如只留姓氏，地址寫到樓號即可。