近日，記者從補(bǔ)天漏洞響應(yīng)平臺(tái)獲悉，近一個(gè)月來(lái)，不斷有網(wǎng)友在平臺(tái)中反饋O2O網(wǎng)站或APP有漏洞。

例如一名網(wǎng)友發(fā)現(xiàn)，一個(gè)名叫“上門(mén)幫”的生活服務(wù)類(lèi)APP，主要經(jīng)營(yíng)上門(mén)足療保健項(xiàng)目。有人能利用該APP存在的漏洞，獲取顧客的昵稱、聯(lián)系電話、家庭地址、上門(mén)足浴項(xiàng)目、夜間服務(wù)費(fèi)用等信息，甚至對(duì)消費(fèi)時(shí)間都了如指掌。

另一網(wǎng)友則發(fā)現(xiàn)，一家名叫“隔壁老王”的生活服務(wù)類(lèi)APP也存在漏洞。開(kāi)發(fā)APP的團(tuán)隊(duì)稱，可以改變用戶的購(gòu)物習(xí)慣。用戶在APP上確定自己的位置后，“隔壁老王”就能提供周邊商戶的信息，用戶可以選擇商家并實(shí)現(xiàn)在線購(gòu)買(mǎi)。

網(wǎng)友通過(guò)該APP的漏洞測(cè)試發(fā)現(xiàn)，可以查看數(shù)十萬(wàn)商品的信息，還有大批用戶的姓名、住址、手機(jī)號(hào)、支付信息等。甚至可以輕松修改商品價(jià)格，“一分錢(qián)買(mǎi)下一個(gè)商店價(jià)值數(shù)十萬(wàn)的商品。”

　核實(shí) 發(fā)給用戶代碼 可被輕易抓取

360安全專(zhuān)家對(duì)這些APP的漏洞核實(shí)后表示，顧客一般會(huì)用手機(jī)號(hào)碼在APP上注冊(cè)、發(fā)送服務(wù)要求，APP會(huì)向顧客發(fā)出代碼。黑客可以通過(guò)漏洞抓取這個(gè)代碼，顧客的個(gè)人信息就被竊取了。

專(zhuān)家表示，過(guò)去這種O2O模式的APP漏洞報(bào)告很少，但近期呈現(xiàn)出爆發(fā)趨勢(shì)。近兩個(gè)月來(lái)，他們已接到近20個(gè)APP的漏洞報(bào)告，這些APP的功能主要是上門(mén)提供服務(wù)，如上門(mén)足療按摩、上門(mén)家政、上門(mén)洗車(chē)、上門(mén)送飯等。

專(zhuān)家稱，老百姓要享受上門(mén)服務(wù)，就要在這些APP上輸入詳細(xì)的個(gè)人信息，比如愛(ài)好、生活習(xí)慣、手機(jī)號(hào)碼、身份證、家庭住址等。這些信息一旦被人竊取會(huì)非常危險(xiǎn)。

據(jù)介紹，補(bǔ)天漏洞響應(yīng)平臺(tái)是全球最大的漏洞響應(yīng)平臺(tái)，幫助企業(yè)建立安全應(yīng)急響應(yīng)中心。自2013年推出以來(lái)，補(bǔ)天平臺(tái)幫助數(shù)百個(gè)廠商修復(fù)了安全漏洞，并保護(hù)了累計(jì)數(shù)百萬(wàn)網(wǎng)站免受黑客侵害。

而對(duì)于網(wǎng)友反饋的APP漏洞，專(zhuān)家核實(shí)后已將大部分漏洞信息通知了廠商，但真正進(jìn)行修補(bǔ)的網(wǎng)站并不多。360的安全專(zhuān)家告訴記者，出現(xiàn)漏洞的主 要原因是，這些上門(mén)服務(wù)APP剛開(kāi)始流行，廠家花十多萬(wàn)元就能推出一款A(yù)PP。但這種倉(cāng)促上馬的APP安全性較差，導(dǎo)致漏洞頻發(fā)。

專(zhuān)家提醒用戶，要在正規(guī)應(yīng)用市場(chǎng)下載APP，安裝手機(jī)衛(wèi)士等安全應(yīng)用。在填寫(xiě)個(gè)人信息時(shí)，可模糊自己的姓名、地址。如只留姓氏，地址寫(xiě)到樓號(hào)即可。