十一黄金周让团购市场再火了一把,“砸金蛋”、“领红包”等团购优惠活动更是如火如荼。然而据360安全中心今日发布的《中国团购网站安全检测报告》显示,目前国内团购网站安全性参差不齐,约70.6%的网站存在高危漏洞,主要为中小型团购网站,可能被黑客利用漏洞无限次砸金蛋、领红包,甚至盗走其他团购用户的密码和消费凭据。
为保护团购用户个人信息和消费安全,360总裁齐向东宣布:网站安全性一直是360团购导航收录和推荐团购网站的重要标准。不仅如此,360网站安全检测平台(http://webscan.360.cn)还将为所有团购网站免费提供漏洞检测与修复建议,以帮助其全面修复漏洞。
七成团购网站存在高危漏洞
10月9日,360安全中心发布了《中国团购网站安全检测报告》。报告显示:在授权360进行安全检测的近300家团购网站中,带有高危漏洞的网站比例达到70.6%,主要为中小型网站;知名大型团购网站的安全状况则相对较好,存在高危漏洞的网站比例为25.0%。
有关数据显示,尽管近期大批团购网站集体倒闭,国内团购网站数量仍达到5000余家。如按360网站安全检测结果的比例测算,国内存在高危漏洞的团购网站数量超过了3500家!对此齐向东认为,大量“微型”企业涌入团购市场,自身又不具备检测和修复漏洞的能力,是造成七成团购网站存在高危漏洞的主要原因。
据360网站安全检测平台的工作人员介绍,许多团购网站在建站时就存在安全意识淡薄的问题,比如:使用开源团购程序时忽视了修复其中的漏洞,导致黑客无需密码便可登录网站管理员帐号,篡改网站页面;利用上述漏洞,黑客还可登录其他团购用户帐号,查看消费记录或窃取消费凭据。统计结果显示,这部分团购网站的比例高达41.5%。
团购站漏洞危害大:网站丢钱丢数据、用户消费凭据遭冒用
某技术博客曾曝料,自己曾三次通知某团购网站修复漏洞。以其中“邀好友,砸金蛋”活动为例,只要利用漏洞做一个自动化工具,就可获得40多亿次砸金蛋的机会,而他在测试中砸得了2000多个金蛋(每个金蛋相当于10元优惠券)。
与“砸金蛋”等活动漏洞相比,网站漏洞的威胁显然更为严重。据360工程师分析,团购网站漏洞容易导致三类风险:第一,用户密码、商品消费凭据等消费者资料泄露;第二,网站首页、商品价格等网页内容被恶意篡改;第三,网站服务器被植入脚本后门,整个网站甚至服务器系统完全被黑客控制。
360《团购网站安全检测报告》显示,团购用户一般以常用邮箱和密码注册帐号,并通过商品页面进行网上支付操作,其经济利益更容易吸引黑客攻击。此前,某团购网站的市场活动遭黑客破坏而中断,不仅赔了数百万元,声誉也受到影响;另据业界人士透露,已有团购网站的用户数据库被黑客连锅端,建议网民定期更换密码。
截至发稿前,经360网站安全检测平台检测的团购网站已陆续对漏洞进行了修复处理。360总裁齐向东表示,团购网站作为重要的电子商务载体,哪怕只是一点安全问题的细微疏忽,也可能出现难以挽回的业务和用户财产损失。360团购导航除了为用户推荐好的商品,还要保障用户在更安全的团购网站上购物消费。
据悉,任何网站只需提出申请并通过身份验证,360网站安全检测平台(http://webscan.360.cn)都可以为其提供完全免费的安全检测和修复建议。
图1:团购网站漏洞极易导致用户隐私与财产丢失风险
图2:国内团购网站十大常见漏洞(数据来源:360安全中心旗下360网站安全检测平台)