乌云曝百度、支付宝等多个APP存安全漏洞

2015-11-06

随着智能手机的普及，手机应用软件的漏洞引发的诈骗和偷窃案件频发。继网易邮箱用户数据疑似遭遇大规模泄露后，支付宝也出现疑似因个人信息泄露而攻破其实名认证体制。此外，乌云网还曝光了百度多款APP存在致命漏洞，黑客可远程控制应用软件，获取一系列私人信息。

乌云网多次曝光互联网公司的技术缺陷。根据该网站的统计数据，今年10月腾讯、百度和新浪等国内主要网站的漏洞数量均在10个以上，而其中百度的漏洞数量更是多达35个。

百度方面回应时代周报记者称，公司已经发现并确认了该漏洞，目前产品团队紧急修复了该漏洞，并通过了严格的质检测试，正在更新所有受影响产品。不过支付宝和网易邮箱却坚称软件自身不存在漏洞，支付宝更是表示由于个人信息泄露导致事件发生，称基于完善的安全体系，支付宝的风险水平已经远低于十万分之一。

一方面是互联网进入大数据时代，让金融等传统行业更加便利和灵活;另一方面却是个人信息的泄露越来越普遍，公民在互联网上失去隐私。业内专家建议，网民需要在享受互联网服务和保护个人隐私信息上寻找平衡点，防范因软件漏洞而造成的财产损失。

百度多款APP存风险

日前乌云网发布的一则漏洞信息称，包括百度地图、百度浏览器等在内的多款APP存在安全漏洞。如果这些软件感染了该漏洞，用户的手机一旦连接网络，就有被远程控制的风险。

据了解，被乌云网曝光的漏洞名为WormHole，除了百度旗下的百度地图、百度音乐以及百度新闻等一直受到该漏洞影响外，还包括足球巨星、漫画岛、口袋理财等知名软件。而如果手机中安装有存在漏洞的这些应用软件，只要手机在联网状态下就有可能受到攻击。值得一提的是，黑客无需接触到手机就可以远程启动任意应用，获取用户的地理位置信息等目的，甚至还能在手机通讯录中添加联系人，并冒充联系人给手机用户发送短信。而且该漏洞只与手机的应用软件有关，与手机本身系统版本无关。

百度方面回应时代周报记者称，公司已经发现并确认了该漏洞，目前产品团队紧急修复了该漏洞，并通过了严格的质检测试，正在更新所有受影响产品。百度方面的相关人士表示，目前该漏洞没有对用户造成任何影响，公司也没有收到用户的反馈报告。“所以只是限于理论性的漏洞，但我们依然高度重视迅速修复了漏洞。百度在信息安全方面一直是国内最好记录的公司之一，而且存在漏洞和用户被攻击是不同的两码事，我们一直以用户利益为先，所以早在此前就已经迅速行动处理好了这个问题，用户是安全的。”

支付宝、网易均否认漏洞

日前有网友表示，支付宝实名认证存在漏洞—当打开支付宝实名认证页面时，发现实名认证信息下多出5个未知账户，而用户却是毫不知情。虽然这些所谓的关联账户无法使用贷款业务，但是其潜在风险却不能忽视。据时代周报记者了解，支付宝的实名认证有着多重把关，用户需要通过身份证、银行卡等多重信息的验证。

对于此次事件，蚂蚁金服有关负责人向时代周报记者否认软件存在漏洞，而是个人信息泄露导致。“如果发现支付宝实名认证账户下出现其他关联账户，是因为账户持有人存在自身身份证等个人隐私信息泄露的情况，导致被关联认证。因此请大家务必妥善保管好个人的账户密码、身份证件、银行卡等个人信息。”上述负责人说道。

此外，支付宝也在微博上发出声明，称基于完善的安全体系，支付宝的风险水平已经远低于十万分之一。而且如账户被盗产生了资金损失，支付宝所合作的保险公司将对用户进行赔付，最高可赔100万元，从保险的角度充分保障用户权益。

几乎在同一时间，网易邮箱也遭遇个人信息泄露问题。乌云网日前宣布接到一起惊人的数据泄密报告，显示网易用户的数据库疑似对外泄露，影响网易163和126邮箱过亿的数据，泄露信息则包括用户名、密码、密码密保信息、登录IP以及用户生日等。

这意味着黑客已破解密码保护的体系，不但能获取用户信息，同时还可以登录被盗用户邮箱进行其他操作。对于不少用网易邮箱的使用者来说，其在其他各大互联网平台上进行绑定，信息泄露将直接影响用户的资金安全，有iPhone手机用户表示，自己使用网易邮箱绑定APPle ID的手机已经被锁，并被擦除数据。

不过网易发表声明称，经严密的技术排查，网易邮箱不存在自身数据泄露问题。“此次事件，是由于部分用户在其他网站使用了和网易邮箱相同的账号密码，其他网站的账号信息泄露，被不法分子利用，侥幸尝试登录网易邮箱造成。”但猎豹安全专家李铁军却质疑网易的说法，认为其存在本身的逻辑以及可能性，但目前泄露信息根源依旧没法断定清楚。

个人信息泄露成重灾区

日前中国互联网协会发布的《中国网民权益保护调查报告(2015)》，个人信息泄露的问题再次成为关注焦点。报告显示，近一年来，网民因个人信息泄露、垃圾信息、诈骗信息等现象，导致总体损失约805亿元，人均124元，其中约4500万网民近一年遭受的经济损失在1000元以上。事实上，国内个人信息泄露非常普遍，甚至已经形成产业链，包括电信、银行、快递等行业的工作人员掌握大量的个人信息，个别不法分子利用职务之便对外贩卖获取利益。再加上快递实名制正式实施，不少用户担心会进一步加剧个人信息泄露。

北京邮电大学互联网治理与法律研究中心主任李欲晓在接受媒体采访时表示，目前国内网民自我保护和保护他人的意识都不充分，这给个人信息安全埋下隐患，而且国内对个人信息保护缺乏相关的法律制度。

目前中国没有专门的个人信息保护综合立法，总体上有近70部法律、行政法规和200部规章对个人信息保护作出原则性规定，但是对于个人信息的定义以及侵犯个人信息的法律责任缺少具体的规定。有业内专家表示，大数据时代下个人信息泄露越来越普遍，网民需要加强自我保护意识，避免关键的个人资料外泄。