近日，記者從補天漏洞響應(yīng)平臺獲悉，近一個月來，不斷有網(wǎng)友在平臺中反饋O2O網(wǎng)站或APP有漏洞。

例如一名網(wǎng)友發(fā)現(xiàn)，一個名叫“上門幫”的生活服務(wù)類APP，主要經(jīng)營上門足療保健項目。有人能利用該APP存在的漏洞，獲取顧客的昵稱、聯(lián)系電話、家庭地址、上門足浴項目、夜間服務(wù)費用等信息，甚至對消費時間都了如指掌。

另一網(wǎng)友則發(fā)現(xiàn)，一家名叫“隔壁老王”的生活服務(wù)類APP也存在漏洞。開發(fā)APP的團隊稱，可以改變用戶的購物習慣。用戶在APP上確定自己的位置后，“隔壁老王”就能提供周邊商戶的信息，用戶可以選擇商家并實現(xiàn)在線購買。

網(wǎng)友通過該APP的漏洞測試發(fā)現(xiàn)，可以查看數(shù)十萬商品的信息，還有大批用戶的姓名、住址、手機號、支付信息等。甚至可以輕松修改商品價格，“一分錢買下一個商店價值數(shù)十萬的商品?！?/p>

　核實 發(fā)給用戶代碼 可被輕易抓取

360安全專家對這些APP的漏洞核實后表示，顧客一般會用手機號碼在APP上注冊、發(fā)送服務(wù)要求，APP會向顧客發(fā)出代碼。黑客可以通過漏洞抓取這個代碼，顧客的個人信息就被竊取了。

專家表示，過去這種O2O模式的APP漏洞報告很少，但近期呈現(xiàn)出爆發(fā)趨勢。近兩個月來，他們已接到近20個APP的漏洞報告，這些APP的功能主要是上門提供服務(wù)，如上門足療按摩、上門家政、上門洗車、上門送飯等。

專家稱，老百姓要享受上門服務(wù)，就要在這些APP上輸入詳細的個人信息，比如愛好、生活習慣、手機號碼、身份證、家庭住址等。這些信息一旦被人竊取會非常危險。

據(jù)介紹，補天漏洞響應(yīng)平臺是全球最大的漏洞響應(yīng)平臺，幫助企業(yè)建立安全應(yīng)急響應(yīng)中心。自2013年推出以來，補天平臺幫助數(shù)百個廠商修復(fù)了安全漏洞，并保護了累計數(shù)百萬網(wǎng)站免受黑客侵害。

而對于網(wǎng)友反饋的APP漏洞，專家核實后已將大部分漏洞信息通知了廠商，但真正進行修補的網(wǎng)站并不多。360的安全專家告訴記者，出現(xiàn)漏洞的主 要原因是，這些上門服務(wù)APP剛開始流行，廠家花十多萬元就能推出一款A(yù)PP。但這種倉促上馬的APP安全性較差，導致漏洞頻發(fā)。

專家提醒用戶，要在正規(guī)應(yīng)用市場下載APP，安裝手機衛(wèi)士等安全應(yīng)用。在填寫個人信息時，可模糊自己的姓名、地址。如只留姓氏，地址寫到樓號即可。