手機一丢，個人信息就裸奔？近日，上海警方破獲一起非法盜刷信用卡案件，偵查發現，多名用戶在遭遇信用卡盜刷前幾小時都丢了手機，攜程、同程、途牛等多款OTA平台或因暴露用戶信息，成為用戶手機丢失後信用卡被盜刷的主要信源。

原來，通過短信驗證碼登錄部分OTA平台，就可套取用戶身份信息。憑借身份證号，僞裝成持卡人撥打銀行客服，以獲取被害人完整的身份、銀行卡等信息，綁定第三方支付軟件，實施盜刷。南都大數據研究院對去哪兒、攜程、飛豬等10款具有購票功能的APP個人信息展示度展開測評，發現9款APP可通過短信驗證碼登錄，其中7款APP均可找到個人預留身份證信息。

飛豬、攜程、途牛等7款APP内均披露個人身份證信息

南都記者實測發現，打開攜程、去哪兒、飛豬旅行等10款需要使用個人信息購票的APP，除12306外，其餘9款APP均可通過短信驗證碼直接登錄。如果手機不慎被盜，被不法分子控制SIM卡後，插入其他手機也可無障礙登錄。

去哪兒、攜程、飛豬、途牛、驢媽媽、同城旅遊、春秋旅遊7款APP未對用戶個人信息進行加密，在“常用旅客/信息”等入口完整展示曾經錄入過的姓名、身份證号、生日等多項詳細旅客信息，一旦登陸成功，不法分子使用這些信息就可以非法盜刷信用卡。

不過，也有平台對用戶信息安全防護做得較好，對常用旅客的關鍵信息，如手機号碼、身份證号等隐藏處理。如馬蜂窩APP中，常用旅客的手機号碼、身份證号碼等信息均隻保留後四位數字；要出發APP則僅保留旅客身份證号的前兩位、後兩位數字，其餘數字均使用“*”替代隐藏。

支付寶、廣發“發現精彩”APP等部分平台存在安全隐患

有了身份證号，如何走到盜刷這一步？據了解，此次盜刷案中，犯罪嫌疑人能通過被害人身份證号掌握其銀行卡信息，綁定第三方支付軟件，實施盜刷。實測發現，部分第三方支付平台也或多或少存在破解漏洞。

*支付寶修改支付密碼界面（安卓手機）

以支付寶為例，在安卓手機上打開支付寶，可通過手機短信驗證碼方式無門檻登錄個人賬戶，重置支付密碼。在“修改支付密碼”界面顯示，可通過四種方式重置密碼，其中一種就是“短信驗證碼 身份證号”，這意味着，僅需要知道身份證号就可以修改支付寶支付密碼。記者以同樣方法測試蘋果手機，發現“短信驗證碼 身份證号”入口則時有時無。

除了支付寶等第三方支付平台外，部分信用卡APP對個人财産信息的保護也有疏漏。例如廣發銀行“發現精彩”APP在登錄時可利用身份證号重置登錄密碼進入，并在“卡片管理”中直接看到用戶所綁定銀行卡的完整卡号。獲取了身份證号、銀行卡号，便可輕而易舉在微信、支付寶等綁定相同銀行卡的第三方支付平台重置支付密碼，控制其銀行卡内金額實施盜刷。

手機應用軟件“風控、安全系統”應及時升級

移動互聯時代，手機知道你的一切秘密。SIM卡作為個人的另一張“身份證”，也是不少APP的通行證。為了方便用戶登錄，不少APP設置了手機短信驗證碼登錄方式，但随之也帶來安全隐患。目前旅遊、購物、共享出行、生活服務等行業的多家平台均上線了“信用付産品”，例如京東的“白條支付”、蘇甯易購的“任性付”、攜程、去哪兒們的“拿去花”等等。如果用戶開通這些貸款類消費産品，并允許小額免密支付，一旦手機落入他人之手，就會産生盜刷風險。事實上，數字經濟時代基于消費升級衍生的新型信用金融産品，如若未能做好安全防護措施，無形之中也會成為犯罪分子的“作案利器”。

對此，業内有關人員表示，“手機應用軟件的風控、安全系統應及時升級。比如除了實名認證外，也可增加生物識别技術驗證，确認實人使用，為應用軟件的使用安全加一道防火牆。”

出品：南都大數據研究院 企業聲譽研究中心

數據采集分析：張雨亭 羅韻

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!