多款O2O軟件存支付漏洞 轉款不用接觸銀行卡

在上海一場被業內譽為駭客奧運會的活動中，逾40款主流智慧軟硬體產品被選手們攻破，包括華為等品牌均成為攻破對象。（AFP）

在現代生活中，刷卡已成為許多消費者的選擇和習慣，然而近日在上海舉辦的Geek Pwn（極棒）2015嘉年華中，多款O2O軟件被曝出存在支付漏洞，甚至在不接觸銀行卡的狀態下，也能把款全部轉走。讓現場觀眾驚呼不安全。

文 _ 蘇晨

近日在上海舉辦的GeekPwn（極棒）2015嘉年華，被業內譽為駭客奧運會，在活動中，逾40款主流智慧軟硬體產品被選手們攻破，包括華為、小米、京東、海爾等品牌均成為攻破對象，移動支付、O2O（Online To Offline，上線到下線）、智慧家居等領域的安全問題成為熱點。

在現場，一位選手演示了對大型POS機品牌盒子支付的攻破。該選手首先用一張他人的銀行卡完成一次刷卡交易，再用一張自己的銀行卡刷卡消費。在接下來的24小時內，其就可以用自己的卡無限次消費他人銀行卡上的餘額了。

更讓人震驚的是，有一位選手在不接觸銀行卡的狀態下，卻能將卡上的餘額轉走。該選手首先通過手機綁定第一大POS機品牌拉卡拉收款寶，通過手機劫持交易信息，並獲得餘額信息。然後再輸入任意密碼，就將餘額全部轉走。在整個過程中，選手並未直接接觸該銀行卡，更沒有獲得該卡密碼。

另有一位選手在現場演示了利用未知漏洞攻破了嘟嘟美甲的O2O軟件系統。選手通過支付寶為嘟嘟美甲官方APP上一帳號充值，實際僅需支付1分錢就向這一帳號內充值任意金額。而e家潔、功夫熊、阿姨幫、微票兒等O2O服務平臺都被證明有類似漏洞。有現場觀眾在看到種種風險後大喊，「這也太不安全了。」

此外，有選手同時對華為榮耀4A手機、小米手機4C進行獲取系統root權限的操作，改變了兩部手機的開機動畫。評委說，這代表選手已經攻破了兩部手機的最高root權限。

網路支付風險事件頻爆發

除上述在活動中演示出的種種風險外，在現實生活中，近兩年來網路支付風險事件亦頻頻爆發。2015年6月，珠海市警方偵破一宗利用駭客手段盜取支付寶資金案件，該案犯罪嫌疑人通過網上購買他人提供的帳號、密碼信息，使用掃號軟件批量測試是否與支付機構支付帳號、密碼一致，比對成功後施行盜竊。據了解，犯罪嫌疑人涉嫌盜竊支付寶帳戶117個，涉案金額7萬多元。

此外，警方在嫌疑人計算機硬盤中存儲各類公民個人信息40多億條，涉及支付寶、京東和Paypal等支付帳戶達1000多萬個，初步估算帳戶涉及資金近10億元。

2015年3月，中國人民銀行四川省射洪縣支行接到商業銀行金融重大事項報告，稱其客戶趙某個人銀行結算帳戶大額資金被盜劃。

3月11日，趙某向銀行反映，其5個銀行卡存款帳戶資金在2015年3月7日至9日期間，遭到連續盜劃20多次，盜劃金額累計達到21.9萬元，期間被屏蔽了手機動帳短信提示。

通過查詢趙某5個銀行卡個人銀行結算帳戶交易流水發現，其資金通過上海某網路支付機構劃至北京一家公司帳戶，是客戶個人身分信息被犯罪人員盜取，並冒用客戶在網上註冊3方理財公司所致。該盜劃事件的特點在於屏蔽了銀行客戶手機動帳短信提示功能，並關聯客戶所有銀行卡個人結算帳戶。

2014年3月5日，兩名嫌犯張某、劉某利用某支付公司網上平臺在帳戶改密業務中的漏洞，盜刷數家企業在該支付公司支付帳戶內的資金共20多萬元。

資金被盜風險大增

上述案例爆發的風險只是冰山一角。隨著互「聯網+」的興起，各類O2O服務已成為日常生活的一部分，一旦應用存在安全風險，除了對用戶個人帶來威脅之外，還威脅著平臺商的數據和資金安全。民眾面臨資金被盜的風險越來越大。

人行一人士表示，在支付獲得便捷的同時，支付業務風險卻在不斷積累。隨著日益頻繁的支付活動，個人支付信息洩露風險大增，消費者面臨更大的資金被盜和欺詐風險。◇