支付宝、携程挂了 但信息安全的机会来了
　　5月27日下午，朋友圈里&剁手党&们一片哀嚎，原来是支付宝出现故障无法登陆，28日凌晨，支付宝方面给出解释是，因杭州市政道路建设导致网络光缆被挖断，从而使部分用户今日下午短时间出现了无法正常使用支付宝的情况。
　　谁料，第二天上午又有用户发现携程也出了问题，无论是官网还是手机app都陷入到瘫痪状态，甚至一度传出携程数据遭&物理删除&的惊恐言论，各路技术大神、爆料大神猜测不断。
　　其实，类似事情最近一直在发生，日晚间，陌陌科技在微博上宣布&由于网络故障，陌陌暂时无法正常使用&，引发无数宅男吐槽。5月11日晚9点多，网易也宣布其骨干网络受到了攻击，导致其移动应用、游戏无法访问、刷新。
　　不难注意到，近期出问题的互联网厂商都是有一定规模，有一定实力的厂商，而更多的互联网企业的规模远不能与这些厂商相比。互联网就像一个大漏勺大筛子，大部分企业、服务居然对此毫无察觉，知道了可能也无动于衷，直到风险变成了真正的损失。
　　互联网时代的安全危机
　　信息安全问题是一直存在的。过去网络世界是网络世界，现实世界是现实世界，安全问题并没有那么迫切。以前发生过天涯论坛密码泄露的问题，所牵扯的用户数并不比今天的携程或者陌陌少，但是天涯论坛密码只关系到网络id，不会影响到用户的现实生活。而如今在o2o流行之后，支付宝里面有用户的巨额资金，携程直接关系到用户的外出行程，他们出点问题，用户被影响的不仅仅是网络，而是现实。
　　更进一步，很多app都在收集用户的信息，你的手机号码、通讯录名单、qq好友，甚至是支付宝账号、银行账号都在被收集之列。这些涉及到个人隐私、财产的信息无论从哪里泄露出去，都有给个人造成巨额损失的可能。媒体上经常出现的，某人139xxxx8888的吉祥号被他人挂失出售，某人的银行卡存款神秘消失，就是因为个人信息泄露，被完全掌握然后利用的后果。
　　而随着云储存系统的发展，很多个人的信息和一些隐私也被个人储存在云端，云端的服务器一旦被攻破，那么千万用户的隐私就毫无遮掩的出现在大众面前。
　　掌握了成千上万用户的信息，提供的o2o服务正渗入并控制普通人的日常生活，衣食住行都依赖于互联网企业的未来，保障信息安全是一个长期且艰深的课题。
　　互联网的危机需要用互联网的思路来解决
　　理论上，每个提供云服务，每个收集用户个人信息的公司，都应该招聘一流的安全专家，甚至知名黑客作为信息安全负责人，都应该布置强大的防御系统，保护用户的信息安全。
　　理论很丰满，而现实很骨感，百度曾经对国内近3万中文网站安全状况进行扫描过，结果是部署了基本安全策略的网站比例非常低，即便采取安全措施，防御规则也大部分过时，很久没有更新规则。从黑客的角度看，就是大多数互联网企业的网站不堪一击。
　　企业的云安全意识非常低。所以互联网经常出现脱库、用户信息泄漏、ddos攻击、服务不稳定等问题。
　　桌面互联网时代早期，很多接入互联网的pc连杀毒软件都没有，更不用说木马防护、hips防入侵，结果用户付出了惨重的代价，庆幸的是当年还没有淘宝，也没有网银，丢的只是qq号、游戏账号。如今的形势要严重的多。
　　不可否认的是，谁在问题暴露的第一时间看到机会，谁就最有可能确立&霸主&地位。如今的移动互联网、云计算、云存储时代糟糕的安全形势就潜藏了巨大的机遇。
　　近年世界黑客大赛上，排名最高的团队是安全宝&&蓝莲花，拿过世界第五，而安全宝的主业给互联网企业提供安全保障。顶级黑客同时也是安全专家，有钱途的企业会被巨头盯上，所以bat里的技术驱动型公司百度才会收购安全宝，并且将其纳入了自己的体系。
　　百度提供入口，提供一个有高水平防御的入口给企业。企业自己搞不好防御没有问题，百度可以承担这一防御的角色。企业做内容做服务，完全可以将不擅长的安全&外包&。类似的思路国内的金融保险企业早已实践。在这些重要行业，信息安全是由保密局、密码管理局为代表的国家力量所保障的。
　　互联网企业目前还没有到那么高的层次，安全外包给一流实力，有顶级人才的大佬，花钱买安全算是不错的选择。
　　个人能做的有限，也得依赖安全类应用
　　对个人来说，只要你想使用互联网，个人隐私就不可避免的泄露，我们能做的只是尽量减少不必要的泄露。
责编：李文瑶
环球时报系产品
用手机继续阅读支付宝功能被限制？“激活”后悲剧了
“您的支付宝余额支付功能即将关闭，需要您重新激活使用……”南京市民吴女士点击上述短信后，随后被盗1500元。
据扬子晚报报道，近日，吴女士收到的短信，对方号码显示为“95188”（支付宝官方客服电话一样）。点了短信上的网址后，弹出来一个“支付宝”登录页面，吴女士在对话框填写了支付宝账号和密码，之后手机一直在提示“正在处理中”。
但不久吴女士的手机收到了另一条短信：告知她的账户刚发生了三笔消费记录，每笔是500元，一共1500元，均显示是在某网站消费的。但吴女士根本没买这些商品，明显是被人盗刷的。
目前警方已立案侦查，警方介绍，随着网络支付的不断发展，由此带来的网络诈骗也不断增多、层出不穷。其中一种就是利用手机短信诈骗，不法分子往往利用通过盗取阿里旺旺、批量收购个人信息等方式 ，获取用户信息，再利用伪基站 给用户发送“以假乱真”的客服信息，诱使用户安装木马程序，以此来实施诈骗；
另一种诈骗方法是利用购物网站，网络支付主要应用于网络购物，不法分子往往通过发送木马“实物图”等方式使用户电脑中毒，从而盗取账户信息，或在取得消费者信任后提供假冒购物网站等方式来窃取用户网络账户信息，以此来实施诈骗。
相关阅读 ：
支付宝：这个微信链接千万不要点
免责声明：本文仅代表作者个人观点，与环球网无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。
环球时报系产品
扫描关注环球网官方微信
扫描关注 这里是美国微信公众号
扫描关注更多环球微信公众号支付宝上线电子凭证功能 一秒可开个人资产证明
　　【环球科技报道】随着余额宝等互联网金融产品的普及，开具网上资产和收支明细作为出国签证、银行贷款的证明，已经成为用户的普遍需求。记者近日了解到，支付宝已经推出电子凭证功能，今后，用户的余额宝等互联网金融资产，可以在网上一秒开具。这也是国内互联网金融领域首次提供电子凭证服务。
　　据介绍，支付宝新推的电子凭证功能支持余额资产证明、收支明细。操作上，用户只要电脑上登录支付宝网页，选择服务大厅－自助服务，在应用服务中就能看到电子凭证的选项，选择资产证明，填入身份证号码和支付密码，确认后下载电子凭证即可。记者体验了一下，除了资产证明，还能开具收支明细证明和电子回单，相关机构也可以通过页面上&&凭证验真&来验证用户开具的电子证明的真假。
　　一般而言，用户开具资产证明从从提出申请到拿到快递资料，需要花费5－7天的时间，而通过电子凭证，用户已无需再通过电话客服申请，直接登陆支付宝网站，一秒钟就可以自助开通各类电子凭证。&
　　上海理工大学电子商务发展研究院院长、电子商务协会政策法律委员会主任、中国电子学会电子签名专家委员会副秘书长杨坚争教授表示：支付宝所开发的电子信用凭证使用了国家批准的CFCA、浙江电子认证中心颁发的电子签名，这种凭证是可以信赖的。2004年颁布的(电子签名发法)已经明确了电子签名(电子印章)的法律效力，即使用国家批准的电子认证机构颁发的电子签名所形成的合同、文件具有法律效力，可以替代传统盖章、签名所形成的合同或文件。
　　支付宝最早从2013年开始为用户提供资产证明服务。去年6月，微博上有网友呼吁，希望支付宝和余额宝也能像银行一样开具个人资产证明，方便办签证的时候直接用，这则微博当时引发了不少人的关注。仅十分钟时间，支付宝内部就自发组建了个人资产证明项目组，在原来的基础上统一和标准化服务流程。
　　据支付宝透露，电子凭证功能上线仅1个月时间，已经有超过30万的申请量。其中，用于银行贷款和办理出国签证的需求占到了54%。
　　&如果这30万份电子凭证通过人工的方式盖章，需要工作人员每天盖1万个章。现在，需求量再大也不怕了，&电子凭证项目负责人刘克表示：&目前，电子凭证刚在电脑端上线一个月，基于用户便捷性和服务效率考虑，手机上的电子凭证功能也已经在开发中。&
　　截至目前，支付宝拥有超过4亿实名用户，余额宝用户也已经超过2亿。杨坚争教授提到，运用电子签名和大数据挖掘技术，为用户生成了有资质的金融信用凭证还是一个新生事物。与传统的银行人工盖章提供信用证明相比，不仅节省了时间成本、人力成本和物流成本，而且极大提升了办事效率，满足了日益增长的用户对信用证明的需求，这是&互联网+金融&一个崭新的应用领域。从长远来看，将有越来越多的互联网金融企业采用这种新的电子信用凭证的形式。&
　　据悉，除了支付宝外，更多的业务应用场景也正逐步启动中。而最引人关注的是：未来，用户可以通过手机直接申请网商银行的相关电子凭证。
版权作品，未经环球网书面授权，严禁转载，违者将被追究法律责任。
责编：李文瑶
环球时报系产品
扫描关注环球网官方微信
扫描关注 这里是美国微信公众号
扫描关注更多环球微信公众号自己的手机登录支付宝就安全？实验表明验证短信会被拦截
华商报4月23日见报的《买上万手机号 改支付宝密码 盗23.8万元》，引起大家对第三方网络支付平台安全性的关注。不法分子之所以能通过网络进行盗窃，除了购买了大量手机用户号码和电信网上服务平台登录密码，关键是采用了拦截支付宝短信验证码的方法。
所有第三方支付平台和不少移动端网络应用，在进行用户身份验证时都很依赖手机短信验证码。而只要在规定时间内正确输入短信验证码，甚至可以立即重置重要的登录或支付密码。那么，短信验证码究竟能否当此大任？23日，西安电子科技大学的三位硕士研究生和华商报记者一起做了一个实验。
用自己的手机登录支付宝就安全？实验：验证短信会被拦截
>>实验验证
恶意程序盗取短信验证码，难吗？
实验时间：日16：00~17：00
实验地点：华商报社二楼
实验人员：西安电子科技大学计算机学院硕士研究生李鑫、王涛、张鹏，华商报记者
实验顾问：西安电子科技大学计算机学院博士、教育部信息安全团队骨干成员杨超、李兴华
为了做这次实验，三位硕士研究生使用了一个特殊的安卓手机软件，这是一个恶意程序，起名“钓鱼攻击”。
实验模拟的情境是，李鑫使用的一部安卓手机已中招，恶意程序一直在后台运行。该软件预先设置的黑客手机号码，是一起做实验的华商报记者的一部手机。
实验开始，李鑫打开手机“支付宝”进行登录。而实际上，他打开的只是一个钓鱼界面。但中毒手机的机主很难注意到，所以输入的账号、登录密码都是真的。
就在李鑫登录“支付宝”的瞬间，华商报记者的手机收到了一条短信，内容就是李鑫所用的支付宝账号和登录密码。如果充当黑客角色的华商报记者，此时立即打开自己手机上真正的支付宝应用，输入短信中的用户名和密码，完全可以登录并使用李鑫的支付宝账户。
如果黑客使用支付宝过程中，需要短信验证码怎么办？这个验证码，支付宝可不会直接发给黑客。
别急，按照程序设计，中毒手机在使用支付宝的过程中，只要收到含有“支付宝”三个字的短信，就会自动把短信内容转发给黑客手机。
为验证这一点，王涛将自己手机中存的支付宝过期短信验证码转发了一条给李鑫。几乎同时，华商报记者的手机就收到了同一条短信。如果这就是黑客需要的验证码，后果可想而知。重置密码、改绑手机，凡是黑客在操作中需要填短信验证码的环节，中毒手机都会自动在需要的时候通过短信转发过来。所以，几分钟甚至几十秒这样的时间限制，并不是问题。
就这么一个小小的程序，不但破解了支付宝账户名和登录密码，而且在操作中凡是需要短信验证码的时候，都会自动发给黑客。让华商报记者看得目瞪口呆。
李鑫说，为研究如何加强安卓系统防木马和钓鱼软件的功能，他们设计了一个新的安卓操作系统。为验证该系统防护性能，才专门制作了这样的“钓鱼攻击”软件。其实这样的钓鱼软件并不罕见，甚至在淘宝上花一二百元就能买到。这类恶意软件通常会和热门软件捆绑，或者伪装成游戏挂件等，用户很难辨别真假。一旦安装并运行了这样的软件，不仅用户在支付宝等第三方支付平台的账户名和密码会被偷偷发给黑客，有些软件还会让用户无法收到支付宝发来的短信。
>>实验总结
仅靠短信验证 无法确保支付安全
西安电子科技大学计算机学院博士、副教授杨超介绍，传统的银行账户实行实名强验证，也就是本人拿着身份证去当面验证，必要时输入验证密码。网络支付方式为突出便利性，降低了验证门槛，一般采取密码验证和短信验证相结合的方式，被称为“双因子验证”。但现在出现了两个问题：一是手机短信验证用过头了，被当做主要验证方式，用它可以去重置登录密码或支付密码，也就是说用短信验证去否决密码验证，这样的设计是不合适的。二是手机短信验证有天然缺陷，在传播过程中可以被截获，实验也说明了这样的问题。所以，短信验证码是不能单独担当主要验证权限大任的。
免责声明：本文仅代表作者个人观点，与环球网无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。
环球时报系产品
用手机继续阅读支付宝账户安全险家族化拓展 银行卡账户安全纳入保障体系
　　4月5日，支付宝联手人保推出一款&银行卡安全险&，非支付宝渠道的银行账户资金也能得到保障。此前，支付宝的账户安全险已经为用户的支付宝账户提供最高100万元的保障，而此举被视作支付宝账户安全险的家族化拓展。
　　进入&我的－我的保险&页面即可看到，投保后，本人名下的所有银行账户，无论是借记卡、信用卡、或网银、手机银行，只要被盗，保险公司均可进行理赔。
　　这款保险由中国人保和蚂蚁金服共同推出，蚂蚁金服保险事业部产品总监梁越平表示：&用保险来保障资金账户的安全，虽然比较新，但接受程度却超出预想，支付宝账户安全险推出后，投保人数达到1.2亿，因此，我们希望将这种方式拓展到更多场景中。&
　　从支付宝账户安全到银行卡账户安全
　　支付宝内上线的银行卡安全险，顾名思义，保障的是银行类的支付场景中的资金损失，主要包含三大类：第一类是银行卡在线下盗刷，包括银行柜台、ATM机、以及各类刷卡消费场景的盗刷，第二类是网银渠道的盗刷，第三类是手机银行渠道的盗刷。
　　由于不同用户银行内资金多少相差很大，银行卡安全险有五档保费可选，对应不同的保额。最低一档是4.88元保1万，其他的四挡保额分别是2万、5万、10万以及50万。
　　支付宝希望让不同的账户安全险来保障不同的场景。支付宝本身已经由支付宝账户安全险提供保障和理赔，而这款新上线的保险保障范围主要是通过银行内途径产生的资损。
　　账户安全险的家族化拓展，从线上到线下，从支付宝本身到所有银行卡账户，切中的正是用户对于账户安全的多方位需求。
　　随着互联网科技的发展，账户的安全性显然在不断提高，不过，人们可能面临的支付风险似乎并未减少，网上的不明链接、诈骗帐号短信等每天都在出现。银行卡被盗刷的新闻近几年来一直不绝于耳，且金额之巨大，常刷新大家的记忆，尤其是信用卡盗刷，持卡人如果未能妥善处理，甚至容易影响自己的个人征信记录。
　　保险，从某种程度上撬动解决着用户的这一烦恼。
　　专线跟进理赔 未来将提供线上理赔
　　投保容易理赔难，这是很多保险都容易存在的问题，如果真的发生银行账户被盗，投保后该如何理赔？过程是否繁琐？
　　支付宝方面表示，为了尽量降低理赔难度，支付宝的95188已经开通一条专线来对接各类保险理赔咨询，用户拨打95188-9，客服小二会提供一对一人工服务，告知需要提供的材料，协助用户完成理赔。
　　一般来说，有两样材料是必须的，一是挂失证明和被盗期间的银行流水，二是公安报案回执，前者主要是向保险公司说明你挂失的情况和资损金额，而后者则是财产险方面通用的一种做法，向公安机关报案，公安机关就有可能追回赃款、惩治盗贼。这两样材料，虽然需要去现场办理，但办理起来并不费劲，挂失证明和银行流水都属于很基础的银行单据，报案回执也不同于立案回执，只要去派出所报案，如实说明情况，即使当场未能立案，派出所也会开具报案回执。
　　值得注意的是，银行卡盗刷后，一定要记得挂失，只要在被盗7天之内挂失，银行卡安全险都可以理赔，在以往类似的险种中，所要求的挂失时间一般为3天，而对挂失时间有所要求，最重要就是帮助止损，并且让银行尽早知晓情况，协助警方的调查。
　　据支付宝方面透露，未来，支付宝还会在这一险种上尝试线上理赔，让理赔服务变得更为简单，同时配搭一些安全服务，比如赠送&银行卡安全卫士&，这个服务在用户信息可能遭遇泄露时给予短信提醒，对可能的盗刷情况及时预警等。
版权作品，未经环球网书面授权，严禁转载，违者将被追究法律责任。
责编：周涛
环球时报系产品
扫描关注环球网官方微信
扫描关注 这里是美国微信公众号
扫描关注更多环球微信公众号