仅凭短信验证登录,账户内个人信息完整呈现

东方网记者李欢9月17日报道:手机APP里保存着的个人信息安全吗?今天上午,黄浦警方对外披露一起信用卡盗刷案,一些常用APP中免密码登录、常用信息留存等功能为犯罪嫌疑人开了“方便之门”。东方网记者体验发现,多个APP均有免密码登录的设计,常用信息留存的漏洞多在预订平台中存在。

在警方披露的这起新型信用卡盗刷案中,嫌疑人控有他人SIM卡后,插入工作机进行使用。再以此手机号为用户名,仅需通过短信验证码的方式,便能在携程、去哪儿等多个出行平台成功登录。只要被害人曾通过一款出行软件订购过火车票、机票,嫌疑人便能通过再次“预订”车票的方式,从“常用出行人”中轻易获取被害人的姓名、身份证号码。

警方认为,此案暴露出当前APP存在的两个安全风险问题:一是APP仅凭手机短信验证码便可以找回密码甚至直接登录;二是APP内保存着的重要个人信息没有经过二次加密或二次验证。

东方网记者尝试登录多款APP发现,手机短信验证的漏洞普遍存在,而重要个人信息的二次加密,涉及财务支付类的软件大多可以做到,出游预订类软件当中则有不少都存在问题。

以“去哪儿旅行”APP为例,记者通过短信验证码登录后,在“常用旅客”界面中可以看到曾经在该平台上预订过的所有旅客的身份证、护照、手机号码信息。在其他几款主流第三方预订APP上,也存在着相同的问题。

第三方平台如此,官方直营的订票APP如何?

记者通过手机短信动态验证码的方式相继登录了“中国国航”“南方航空”“东方航空”“春秋航空”“厦门航空”APP,在“常用乘机人”栏目中,包括有效证件号、出生日期、电话号码在内的个人信息均可以完整呈现。

相对而言,“铁路”APP的设计更加严密。记者选择以手机号码“找回密码”后,系统除了要求填入动态短信验证码外,还要求输入完整的证件号码。即便能够登录成功,在账户的“常用联系人”中,本人及曾经预订过的身份信息都经过了加密处理,且不能编辑。

业内人士认为,在支付宝、

转载请注明地址:http://www.xiamenshangbao.com/xmsbls/14157.html


  • 上一篇文章:
  • 下一篇文章: 没有了
  • 网站简介 广告合作 发布优势 服务条款 隐私保护 网站地图 版权声明