360：團(tuán)購(gòu)網(wǎng)站安全性普遍堪憂

十一黃金周讓團(tuán)購(gòu)市場(chǎng)再火了一把，"砸金蛋"、"領(lǐng)紅包"等團(tuán)購(gòu)優(yōu)惠活動(dòng)更是如火如荼。然而據(jù)360安全中心今日發(fā)布的《中國(guó)團(tuán)購(gòu)網(wǎng)站安全檢測(cè)報(bào)告》顯示，目前國(guó)內(nèi)團(tuán)購(gòu)網(wǎng)站安全性參差不齊，約70.6%的網(wǎng)站存在高危漏洞，主要為中小型團(tuán)購(gòu)網(wǎng)站，可能被黑客利用漏洞無(wú)限次砸金蛋、領(lǐng)紅包，甚至盜走其他團(tuán)購(gòu)用戶的密碼和消費(fèi)憑據(jù)。

為保護(hù)團(tuán)購(gòu)用戶個(gè)人信息和消費(fèi)安全，360總裁齊向東宣布：網(wǎng)站安全性一直是360團(tuán)購(gòu)導(dǎo)航收錄和推薦團(tuán)購(gòu)網(wǎng)站的重要標(biāo)準(zhǔn)。不僅如此，360網(wǎng)站安全檢測(cè)平臺(tái)（http://webscan.#）還將為所有團(tuán)購(gòu)網(wǎng)站免費(fèi)提供漏洞檢測(cè)與修復(fù)建議，以幫助其全面修復(fù)漏洞。

七成團(tuán)購(gòu)網(wǎng)站存在高危漏洞

10月9日，360安全中心發(fā)布了《中國(guó)團(tuán)購(gòu)網(wǎng)站安全檢測(cè)報(bào)告》。報(bào)告顯示：在授權(quán)360進(jìn)行安全檢測(cè)的近300家團(tuán)購(gòu)網(wǎng)站中，帶有高危漏洞的網(wǎng)站比例達(dá)到70.6%，主要為中小型網(wǎng)站；知名大型團(tuán)購(gòu)網(wǎng)站的安全狀況則相對(duì)較好，存在高危漏洞的網(wǎng)站比例為25.0%。

有關(guān)數(shù)據(jù)顯示，盡管近期大批團(tuán)購(gòu)網(wǎng)站集體倒閉，國(guó)內(nèi)團(tuán)購(gòu)網(wǎng)站數(shù)量仍達(dá)到5000余家。如按360網(wǎng)站安全檢測(cè)結(jié)果的比例測(cè)算，國(guó)內(nèi)存在高危漏洞的團(tuán)購(gòu)網(wǎng)站數(shù)量超過(guò)了3500家！對(duì)此齊向東認(rèn)為，大量"微型"企業(yè)涌入團(tuán)購(gòu)市場(chǎng)，自身又不具備檢測(cè)和修復(fù)漏洞的能力，是造成七成團(tuán)購(gòu)網(wǎng)站存在高危漏洞的主要原因。

據(jù)360網(wǎng)站安全檢測(cè)平臺(tái)的工作人員介紹，許多團(tuán)購(gòu)網(wǎng)站在建站時(shí)就存在安全意識(shí)淡薄的問(wèn)題，比如：使用開(kāi)源團(tuán)購(gòu)程序時(shí)忽視了修復(fù)其中的漏洞，導(dǎo)致黑客無(wú)需密碼便可登錄網(wǎng)站管理員帳號(hào)，篡改網(wǎng)站頁(yè)面；利用上述漏洞，黑客還可登錄其他團(tuán)購(gòu)用戶帳號(hào)，查看消費(fèi)記錄或竊取消費(fèi)憑據(jù)。統(tǒng)計(jì)結(jié)果顯示，這部分團(tuán)購(gòu)網(wǎng)站的比例高達(dá)41.5%。

團(tuán)購(gòu)站漏洞危害大：網(wǎng)站丟錢(qián)丟數(shù)據(jù)、用戶消費(fèi)憑據(jù)遭冒用

某技術(shù)博客曾曝料，自己曾三次通知某團(tuán)購(gòu)網(wǎng)站修復(fù)漏洞。以其中"邀好友，砸金蛋"活動(dòng)為例，只要利用漏洞做一個(gè)自動(dòng)化工具，就可獲得40多億次砸金蛋的機(jī)會(huì)，而他在測(cè)試中砸得了2000多個(gè)金蛋（每個(gè)金蛋相當(dāng)于10元優(yōu)惠券）。

與"砸金蛋"等活動(dòng)漏洞相比，網(wǎng)站漏洞的威脅顯然更為嚴(yán)重。據(jù)360工程師分析，團(tuán)購(gòu)網(wǎng)站漏洞容易導(dǎo)致三類風(fēng)險(xiǎn)：第一，用戶密碼、商品消費(fèi)憑據(jù)等消費(fèi)者資料泄露；第二，網(wǎng)站首頁(yè)、商品價(jià)格等網(wǎng)頁(yè)內(nèi)容被惡意篡改；第三，網(wǎng)站服務(wù)器被植入腳本后門(mén)，整個(gè)網(wǎng)站甚至服務(wù)器系統(tǒng)完全被黑客控制。

360《團(tuán)購(gòu)網(wǎng)站安全檢測(cè)報(bào)告》顯示，團(tuán)購(gòu)用戶一般以常用郵箱和密碼注冊(cè)帳號(hào)，并通過(guò)商品頁(yè)面進(jìn)行網(wǎng)上支付操作，其經(jīng)濟(jì)利益更容易吸引黑客攻擊。此前，某團(tuán)購(gòu)網(wǎng)站的市場(chǎng)活動(dòng)遭黑客破壞而中斷，不僅賠了數(shù)百萬(wàn)元，聲譽(yù)也受到影響；另?yè)?jù)業(yè)界人士透露，已有團(tuán)購(gòu)網(wǎng)站的用戶數(shù)據(jù)庫(kù)被黑客連鍋端，建議網(wǎng)民定期更換密碼。

截至發(fā)稿前，經(jīng)360網(wǎng)站安全檢測(cè)平臺(tái)檢測(cè)的團(tuán)購(gòu)網(wǎng)站已陸續(xù)對(duì)漏洞進(jìn)行了修復(fù)處理。360總裁齊向東表示，團(tuán)購(gòu)網(wǎng)站作為重要的電子商務(wù)載體，哪怕只是一點(diǎn)安全問(wèn)題的細(xì)微疏忽，也可能出現(xiàn)難以挽回的業(yè)務(wù)和用戶財(cái)產(chǎn)損失。360團(tuán)購(gòu)導(dǎo)航除了為用戶推薦好的商品，還要保障用戶在更安全的團(tuán)購(gòu)網(wǎng)站上購(gòu)物消費(fèi)。